Torgeek
- Ist es in Ordnung, Zugangstoken im lokalen Speicher zu speichern?
- Wo soll ich mein Zugangstoken aufbewahren??
- Speichert JWT im lokalen Speicher sicher?
- Sollte ich Zugriffstoken in der Datenbank speichern?
- Was sollten Sie nicht im lokalen Speicher speichern??
- Ist lokaler Speicher sicherer als Cookies?
- Kann zugreifen auf Token gestohlen werden?
- Was ist der beste Ort, um JWT aufzubewahren??
- Ist lokaler Speicher anfällig für XSS?
- Ist lokaler Speicher anfällig für CSRF?
- Wo soll ich Zugangstoken aufbewahren und Token erfrischen?
- Wo halten Sie das Access -Token -Frontend??
- Ist es sicher, Refresh -Token in der Datenbank zu speichern??
- Wie lange sollte zuletzt auf Token zugreifen??
- Sollten Sie Zugriffsstopps Cache Cache Cache?
Ist es in Ordnung, Zugangstoken im lokalen Speicher zu speichern?
Auf der anderen Seite ist LocalStorage potenziell anfällig für Cross-Site-Skriptangriffe (XSS). Wenn ein Angreifer böswilliges JavaScript in eine Webseite injizieren kann, kann er in LocalStorage ein Zugangstoken stehlen. Im Gegensatz zu Cookies bietet LocalStorage auch keine sicheren Attribute, die Sie auf Blocking -Angriffe einstellen können.
Wo soll ich mein Zugangstoken aufbewahren??
Die übliche Praxis besteht darin, Zugangsanstrengungen im Sitzung des Browsers oder des lokalen Speichers des Browsers zu speichern. Dies liegt daran. Dies bietet eine bessere Benutzererfahrung.
Speichert JWT im lokalen Speicher sicher?
Ein JWT muss an einem sicheren Ort im Browser des Benutzers gespeichert werden. Auf jeden Fall sollten Sie keinen JWT im lokalen Speicher (oder im Sitzungsspeicher) speichern. Wenn Sie es in einer lokalen Storage/SessionStorage aufbewahren, kann es leicht von einem XSS -Angriff erfasst werden.
Sollte ich Zugriffstoken in der Datenbank speichern?
Einige Zugriffstoken halten ein oder zwei Stunden und eignen sich gut für die Aufbewahrung in der Sitzung. Andere sind langfristige Token, zum Beispiel Facebook bietet ein 60-tägiges Token, und diese sind sinnvoller, in einer Datenbank zu speichern. In beiden Fällen befreien wir uns, den Benutzer zu bitten, erneut zu autorisieren.
Was sollten Sie nicht im lokalen Speicher speichern??
Angesichts der potenziellen Vektoren, bei denen böswillige Akteure auf Informationen zum lokalen Speicher Ihres Browsers zugreifen können, ist es leicht zu erkennen, warum vertrauliche Informationen wie persönlich identifizierbare Informationen (PII), Authentifizierungstoken, Benutzerorte und API -Schlüssel usw., sollte niemals im lokalen Speicher aufbewahrt werden.
Ist lokaler Speicher sicherer als Cookies?
Obwohl Cookies immer noch einige Schwachstellen haben, ist es im Vergleich zu LocalStorage, wenn möglich, vorzuziehen. Warum? Sowohl LocalStorage als auch Cookies sind anfällig für XSS.
Kann zugreifen auf Token gestohlen werden?
Während diese Token nützlich sind, um wichtige IT -Dienste zu aktivieren, sind sie auch für Diebstahl anfällig.
Was ist der beste Ort, um JWT aufzubewahren??
JWT sollte in Keksen aufbewahrt werden. Sie können httponly und sichere Flags je nach Ihren Anforderungen verwenden. Um vor dem CSRF -Samesit Cookie -Attribut zu schützen.
Ist lokaler Speicher anfällig für XSS?
XSS -Angriffe geben böswillige Skripte in Webanwendungen ein, und leider sind sowohl Lokalstor- als auch SessionStorage für XSS -Angriffe anfällig. XSS -Angriffe können verwendet werden, um Daten von Speicherobjekten zu erhalten und den gespeicherten Daten böswillige Skripte hinzuzufügen.
Ist lokaler Speicher anfällig für CSRF?
Sowohl LocalStorage als auch Cookies sind anfällig für XSS. Cookies sind anfällig für CSRF.
Wo soll ich Zugangstoken aufbewahren und Token erfrischen?
Wenn Ihre Anwendung eine Aktualisierung der Token -Rotation verwendet, kann sie jetzt im lokalen Speicher- oder Browserspeicher gespeichert werden. Sie können einen Dienst wie Auth0 verwenden, der die Token -Rotation unterstützt.
Wo halten Sie das Access -Token -Frontend??
Wo soll ich meine Token im Front-End aufbewahren?? Es gibt zwei allgemeine Möglichkeiten, Ihre Token zu lagern. Der erste ist in LocalStorage und der zweite in Keksen. Es gibt eine Menge Debatten darüber, welche besser mit den meisten Menschen zu Keksen lehnt, da sie sicherer sind.
Ist es sicher, Refresh -Token in der Datenbank zu speichern??
Speichern oder verwenden Sie OAuth Access Tokens oder verwenden Sie keine Token in Web- oder mobilen Clients. OAuth Access Tokens und Refresh -Token sollten verschlüsselt und in einer sicheren Datenbank gespeichert werden. Ihre Anwendung sollte einen starken Verschlüsselungsstandard wie AES verwenden.
Wie lange sollte zuletzt auf Token zugreifen??
Standardmäßig sind Zugriffstoken für 60 Tage gültig und programmatische Aktualisierungstoken sind ein Jahr lang gültig. Das Mitglied muss Ihre Anwendung erneut autorisieren.
Sollten Sie Zugriffsstopps Cache Cache Cache?
Cache -Token
Da es teuer ist, neue Token abzurufen, empfehlen wir, einen Token -Cache zu verwenden, um unnötige Anfragen zu verhindern. Lagern Sie es nach dem Abrufen eines Tokens in einem Memory-Cache wie Memcached oder einem eingebauten ASP.Netto -Cache -Dienst.
