Istnieje wiele artykułów omawiających, jakie jest najlepsze miejsce do przechowywania JWT na kliencie. Krótko mówiąc, są one o -Uwierzytelnianie jwt: ciasteczko kontra nagłówek
HTTP tylko bezpieczne cookie - nie XSS, ale vulnarable do XSRF
żniwna (zapisywane w pamięci lokalnej lub DOM) - Brak XSRF, ale vulnarable do XSS
myślę wymyślić niezwykle zrozumiały rozwiązania tego problemu, ale ponieważ jestem kompletną Noob w bezpieczeństwie nie jestem pewien, czy to naprawdę bystry lub głupie.
Co zrobić, aby podzielić JWT i zapisać jego część w pliku cookie i innej części w nagłówku? Czy byłby nie do złamania?
Powinno to również rozwiązać „wylogowania” problem. - usuwanie części nagłówka stałaby przeglądarka niezdolny do logowania
poważaniem, Eugene.
Ale dodatkowy plik cookie do ochrony przed XSRF oznacza utrzymywanie sesji po stronie serwera, prawda? Jeśli tak, sklejenie JWT z powrotem jest znacznie prostsze i lżejsze. I znowu, jeśli tylko część JWT jest przechowywana w pamięci lokalnej, czy może mieć jakąkolwiek wartość dla atakującego? – user656449