我想使用最安全的方法将我登录的用户会话存储在 cookie 中。后端是基于 Django 和 DRF 构建的,所以我在 simplejwt 插件用于令牌身份验证或 djangos 默认 SessionAuth 之间进行选择。前端不是 SPA,但最终也会有一个移动应用程序。所以我一直倾向于令牌身份验证,将它们存储在寿命很短的 httpOnly cookie 中。但在那一点上,我想知道我是否基本上只是以迂回的方式进行会话身份验证?
对于此应用程序,一个比另一个更好(在安全性方面)?
问问题
1099 次
1 回答
2
我认为没有最安全的身份验证方法。每种方法都有优点和缺点。要拥有一个安全的应用程序,不仅需要良好的身份验证,还需要其他最佳安全实践。
互联网上有一个神话,即 httpOnly cookie 会在 XSS 的情况下拯救你,这是不真实的。在 XSS 的情况下,可以直接读取存储在 localStorage 中的值。cookie 中的值(httpOnly 与否)可用于 XSS 情况下的恶意请求(它们不会像在 localStorage 中那样直接访问,但可用于“错误”请求,例如更改密码)。为了防止 XSS 安全,请不要在 cookie 或 localSotrage 中存储任何身份验证数据。每次刷新网站时强制用户登录 - 这是最安全的。
在我看来,身份验证没有灵丹妙药,如果您打算添加一个移动应用程序,一个好的解决方案可能是使用令牌身份验证(可以是 JWT 或 DRF 令牌或 django-rest-knox)。
我使用的是 DRF 令牌 + Djoser,它具有管理身份验证所需的所有 URL(而且很简单)。Djoser 的一个不错的功能是它在注销时删除令牌并在登录时创建一个新令牌。当有人窃取您的令牌时,只需注销即可,它将无效。我将令牌存储在 localStorage 中。我正在使用具有一些 XSS 防御机制的 React。此外,我正在使用内容安全策略和 HTTPS(使用 Let's encrypt)。我只使用受信任的软件包。我希望这可以为应用程序提供安全性。它是 100% 安全的吗?可能不是……有什么 100% 安全的东西连接到互联网吗?可能不是。我的建议是尽最大努力确保安全。
于 2020-10-30T09:41:25.770 回答