Waar kan ek JWT-geheime stoor?

2024 Outeur: Lynn Donovan | [email protected]. Laas verander: 2023-12-15 23:42

Winkel JWT's veilig

A JWT moet wees gestoor word op 'n veilige plek binne die gebruiker se blaaier. As jy winkel dit binne localStorage, is dit toeganklik deur enige skrif binne jou bladsy (wat so erg is soos dit klink, aangesien 'n XSS-aanval 'n eksterne aanvaller toegang tot die token kan laat kry).

Die vraag is ook, waar moet ek API-sleutels stoor?

In plaas daarvan om jou API-sleutels in jou aansoeke, winkel hulle in omgewingsveranderlikes of in lêers buite jou toepassing se bronboom. Moenie stoor API-sleutels in lêers binne jou toepassing se bronboom.

Moet ek JWT ook in 'n databasis stoor? Jy kon stoor die JWT in die db maar jy verloor sommige van die voordele van 'n JWT . Die JWT gee jou die voordeel dat jy nie nodig het nie aan kontroleer die teken in a db elke keer sedert jy net kriptografie kan gebruik aan verifieer dat die teken wettig is. Jy kan nog steeds gebruik JWT met OAuth2 sonder stoor tokens in die db as jy wil.

Hiervan, waar stoor jy JWT-token reageer?

Berg JWT-token Ons kan winkel dit as 'n kliënt-kant koekie of in 'n plaaslike berging of sessie stoor. Daar is voor- en nadele in elke opsie, maar vir hierdie toepassing sal ons dit doen winkel dit in sessionStorage.

Waar word toegangstekens gestoor?

3 Antwoorde. Die kliënt, in OAuth-terminologie, is die komponent wat versoeke aan die hulpbronbediener rig, in jou geval is die kliënt die bediener van 'n webtoepassing (NIE die blaaier nie). Daarom is die toegangsteken moet slegs op die webtoepassingsbediener gestoor word.