我正在创建登录模块。
用户将输入用户名和密码。
如果用户验证成功,则服务器将返回 JWT 令牌。
我将使用 JWT 令牌来验证 React js 中的不同 API 调用。
现在我担心的是,我找到了一些关于此的文章,然后我发现我们只能使用 http cookie。我们如何实现 httponly cookie 方法来存储 JWT ?安全吗?
【问题讨论】:
标签: node.js reactjs express authentication jwt
HttpOnly cookie 是安全的,因为它们可以通过 Document.cookie API 防止浏览器访问,因此可以防止 XSS 攻击。
成功验证您的用户后,服务器应生成一个 jwt 令牌并将其作为 cookie 返回给您的客户端,如下所示:
return res.cookie('token', token, {
expires: new Date(Date.now() + expiration), // time until expiration
secure: false, // set to true if your using https
httpOnly: true,
});
可以通过来自您的客户端的传入 http 请求访问 cookie。您可以使用授权中间件函数检查 cookie 的 jwt 值,以保护您的 API 端点:
const verifyToken = async (req, res, next) => {
const token = req.cookies.token || '';
try {
if (!token) {
return res.status(401).json('You need to Login')
}
const decrypt = await jwt.verify(token, process.env.JWT_SECRET);
req.user = {
id: decrypt.id,
firstname: decrypt.firstname,
};
next();
} catch (err) {
return res.status(500).json(err.toString());
}
};
更多详情参考:https://dev.to/mr_cea/remaining-stateless-jwt-cookies-in-node-js-3lle
【讨论】: