0

バックエンドにAngularJSとSpringを使用してシングルページアプリを構築しています。バックエンドをステートレスにするために、最近 JWT (JSON Web Tokens) について調査しました。ここに混乱があります -

を。応答ヘッダーで JWT をクライアントに送信し、それを ngCookie を介して Cookie に保存する必要がありますか? はいの場合、XSS 攻撃をどのように処理できますか?

b. バックエンドで生成された Cookie で JWT を送信し、クライアント ブラウザーに Cookie を設定する必要がありますか?

c. JWT は安全ですか? (ちなみに、JWT は簡単にデコードできるので、https でアプリを実行します)

アプリを保護するためのより良い方法があれば、ぜひ教えてください。

ありがとうございました。

少しでも情報を共有してください。

4

2 に答える 2

1

JWT はローカル ストレージに保存する必要があります。詳細については、このビデオを参照してください。

https://www.youtube.com/watch?v=X7t2pdJYHNI

JWT は安全ではありません。https を使用してデータを暗号化する必要があります。

于 2015-08-06T17:16:56.733 に答える
0

a + b

  • JWT は以下で送信できます。
  1. 承認ヘッダー
  2. リクエストボディ
  3. URL パラメータ
  4. クッキー (^ の場合)
  • ローカル ストレージまたは Cookie ファイル (^) の両方に保存されます。

c

  • JWT はエンコードおよび署名されています。暗号化されていません。そのため、機密データ (パスワードなど) を含めないでください。

  • ただし、プライベート データを追加する必要がある場合は、JWE (Json Web Encryption) を試してください。

于 2020-12-24T09:49:31.697 に答える