JWT 访问令牌和刷新令牌安全性

【问题标题】:JWT Access token and Refresh token securityJWT 访问令牌和刷新令牌安全性
【发布时间】:2018-10-16 03:15:49
【问题描述】:

我正在为前端 Reactjs 和后端 SpringBoot(REST) 创建一个应用程序。

我想使用 JWT 令牌来保证安全。由于窃取 JWT 刷新令牌可能暗示的安全问题,我想问您以下场景是否有效:

  • 后端

    • 登录时创建访问-JWT 和刷新-JWT
    • 在两个有效负载部分设置相同的唯一 UUID(因此我在它们之间创建了一个“链接”)。
    • 将 refresh-JWT 的 hashCode 保存在 DB 中(以备将来有效性检查)
    • 在正文访问-JWT 和 cookie 刷新-JWT 中作为响应返回。

  • 前端

    • 将访问-JWT 存储在本地存储中
    • 将 refresh-JWT 存储为 cookie

现在,对于来自前端的每个请求,我都会查看两个令牌(标头中的访问 JWT 和作为 cookie 的刷新 JWT)。我检查它们是否具有相同的唯一 UUID。如果他们这样做,我将为他们继续验证过程。

这样做我希望消除 XSS 和 CSRF 攻击,前提是这些攻击不会同时进行。因此,如果 access-JWT 被盗,攻击者将没有 refresh-JWT,反之亦然。

请分享您的想法。谢谢。

【问题讨论】:

    标签: security jwt token refresh


    【解决方案1】:

    您应该避免发明自己的身份验证/会话管理方案,因为微小的细节可能会破坏整个系统的安全性。

    引用来自 Auth0 的 Which OAuth 2.0 flow should I use?

    此外,应注意,隐式授予不会返回刷新令牌,因为浏览器无法将其保密(请阅读 SPA 和刷新令牌面板了解解决方法)。

    我建议使用标准的 OpenID Connect(或 OAuth 2.0)流程 - 在您的情况下是 隐式流程

    【讨论】:

      猜你喜欢
      • 2017-12-25
      • 2021-08-23
      • 1970-01-01
      • 2020-10-15
      • 2021-12-14
      • 2020-04-15
      • 2022-12-23
      • 2019-09-19
      • 2018-09-29
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode