On puc emmagatzemar els secrets de JWT?

2024 Autora: Lynn Donovan | [email protected]. Última modificació: 2023-12-15 23:44

Botiga JWT de manera segura

A JWT cal ser emmagatzemat en un lloc segur dins del navegador de l'usuari. Si tu botiga dins de localStorage, és accessible per qualsevol script de la vostra pàgina (que és tan dolent com sembla, ja que un atac XSS pot permetre que un atacant extern tingui accés al testimoni).

També la pregunta és, on he d'emmagatzemar les claus de l'API?

En lloc d'incrustar el teu Claus API a les teves aplicacions, botiga en variables d'entorn o en fitxers fora de l'arbre font de la vostra aplicació. No ho facis emmagatzemar claus API als fitxers dins de l'arbre d'origen de la vostra aplicació.

A més, hauria d'emmagatzemar JWT a la base de dades? Vostè podria emmagatzemar el JWT en el db però perds alguns dels beneficis d'a JWT . El JWT et dóna l'avantatge de no necessitar a comproveu el testimoni en a db cada vegada, ja que només podeu utilitzar la criptografia a verificar que el testimoni és legítim. Encara podeu utilitzar JWT amb OAuth2 sense emmagatzemar fitxes a la db si vols.

Per tant, on emmagatzemeu la reacció del testimoni JWT?

Emmagatzematge del testimoni JWT Podem botiga com a galeta del costat del client o en un localStorage o sessionStorage. Hi ha avantatges i contres en cada opció, però per a aquesta aplicació, ho farem botiga a sessionStorage.

On s'emmagatzemen els testimonis d'accés?

3 respostes. El client, en terminologia OAuth, és el component que fa les peticions al servidor de recursos, en el vostre cas, el client és el servidor d'una aplicació web (NO el navegador). Per tant, el fitxa d'accés només s'ha d'emmagatzemar al servidor d'aplicacions web.