我们正在使用带有 JWT 身份验证插件的 Kong API 网关实现示例应用程序。
正如thread 中提到的,有两种方法可以在浏览器中存储 JWT。网络存储或 cookie。但是网络存储(即会话存储和本地存储)可能容易受到跨站点脚本攻击(XSS)的攻击。所以其他选择是cookie。 (虽然应该注意 CSRF)
我有两个问题,
如果我们使用 web 存储 来存储 JWT,那么有什么方法可以阻止 XSS。如果是,那么如果在新标签页中打开同一页面或重新加载同一页面,它将如何工作?
使用 cookie:我们能够在请求中发送 cookie。但 KONG 仅在 在标头上设置 (Authorisation: Bearer token) 并且不使用 cookie 进行身份验证时才对端点 URL 进行身份验证。有什么方法可以验证使用 KONG API Gateway 在 cookie 中设置的 JWT 吗?
【问题讨论】:
标签: api jwt lumen kong api-gateway
将 JWT 存储在 webStorage 中没有任何问题,除非您将敏感数据存储在 JWT 中(但您永远不应该这样做,因为您可以轻松对其进行解码)。关键是您的令牌共享一个只有您的服务器知道的秘密(这就是使其安全的原因),您应该设置一个到期时间以使其更安全。
不,您不能在 cookie 中传递 JWT 令牌,它只能在标头中(此处为授权),我不知道 KONG API,但他们不应该允许这样做!
(关于 JWT 的参考是here)
【讨论】:
localStorage 而不是webStorage,localStorage 在域上是持久的并且可以抵抗页面重新加载/刷新!您只需将 JWT 一次传递给您的客户端(在登录时或其他任何方式),并将其保存到您的 localStorage
axios、fetch ?)
http://localhost:3000 并粘贴到新标签中。所以我的应用程序被重定向到登录而不是前进。我想要的是当我将 URL 粘贴到新选项卡并按 Enter 键时,它应该在请求中传递令牌。希望这能理解我的担忧。
为了补充@antoine2vey的答案,
看起来您的页面应用程序正在由 Kong 中的“/”(斜杠)资源处的受保护 API 提供服务。我建议您能够从未受保护的“/”(斜杠)资源中获取页面内容,然后运行 javascript 代码将可以访问 cookie,并且能够通过 JWT 令牌执行对受保护资源的请求在 Kong 可以为您验证的标题中。
这有意义吗?
【讨论】:
实现了基于 Cookie 的身份验证。 https://github.com/Kong/kong/pull/2973
【讨论】: