Ku mund t'i ruaj sekretet e JWT?

2024 Autor: Lynn Donovan | [email protected]. E modifikuara e fundit: 2023-12-15 23:53

Dyqani JWT në mënyrë të sigurt

A JWT duhet të jetë të ruajtura në një vend të sigurt brenda shfletuesit të përdoruesit. nëse ti dyqan brenda localStorage, është i aksesueshëm nga çdo skript brenda faqes tuaj (që është aq e keqe sa tingëllon, pasi një sulm XSS mund të lejojë që një sulmues i jashtëm të ketë akses në token).

Gjithashtu pyetja është, ku duhet t'i ruaj çelësat API?

Në vend që të ngulitni tuajin Çelësat API në aplikimet tuaja, dyqan ato në variablat e mjedisit ose në skedarë jashtë pemës burimore të aplikacionit tuaj. Mos ruaj çelësat API në skedarët brenda pemës burimore të aplikacionit tuaj.

Për më tepër, a duhet ta ruaj JWT në bazën e të dhënave? Ju mund të ruante të JWT në db por ju humbni disa nga përfitimet e një JWT . Të JWT ju jep avantazhin se nuk keni nevojë te kontrolloni shenjën në a db çdo herë që ju mund të përdorni vetëm kriptografinë te verifikoni që token është legjitim. Ju ende mund të përdorni JWT me OAuth2 pa ruajtjen argumentet në db nëse dëshironi.

Si rrjedhim, ku e ruani reagimin e tokenit JWT?

Ruajtja e JWT Token Ne mundemi dyqan atë si një cookie nga ana e klientit ose në një ruajtje lokale ose sesionStorage. Ka të mirat dhe të këqijat në secilin opsion, por për këtë aplikacion, ne do ta bëjmë dyqan atë në sesionStorage.

Ku ruhen argumentet e aksesit?

3 Përgjigje. Klienti, në terminologjinë OAuth, është komponenti që i bën kërkesa serverit të burimeve, në rastin tuaj, klienti është serveri i një aplikacioni ueb (JO shfletuesi). Prandaj, shenjë e hyrjes duhet të ruhet vetëm në serverin e aplikacionit në internet.