Angulaire 2/4 où stocker jeton

J'ai une api rest pour la génération d'un jeton, je suis en utilisant angulaire 4 côté client, mais la question est de savoir où stocker ce jeton.

Dans l'internet, j'ai trouvé que je peux stocker dans des locaux de stockage ou dans le cookie.

Donc ma question est, si l'option stocker le jeton est le local de stockage par exemple, et j'ai juste copié le jeton valide à partir d'un autre navigateur, puis je vais avoir un jeton valide, donc il n'y a aucune sécurité de stocker le jeton comme ça, et en fait la même chose avec les cookies, ou peut-être que j'ai raté quelques informations importantes?

Double Possible de Angular2 des cookies au lieu de localstorage
Ce n'est pas un doublon, car ici la sécurité est en cause, ce qui n'est pas le cas sur l'autre post.

OriginalL'auteur user2870934 | 2017-09-19

11

Voici un article complet sur les Jetons /Cookies qui peuvent vous donner beaucoup de connaissances sur ce sujet : auth0 : les Cookies VS Jetons

Je vais vous citer les parties les plus importantes pour vous faire comprendre ce que seront les prochaines :

Deux des principaux vecteurs d'attaque face à des sites web sont de Cross Site Scripting (XSS) et Cross Site Request Forgery (XSRF ou CSRF).

Cross Site Scripting) les attaques se produisent lorsqu'une entité étrangère est en mesure d'exécuter le code dans votre site web ou application.

Cross Site Request Forgery attaques ne sont pas un problème si vous utilisez JWT avec local de stockage. D'autre part, si votre cas d'utilisation, vous oblige à stocker les JWT dans un cookie, vous devez les protéger contre XSRF.

Notre CTO a affirmé dans le passé que les attaques XSS sont beaucoup plus faciles à traiter par rapport à XSRF attaques parce qu'ils sont généralement mieux compris.

Donc en gros pour résumer :
- XSS attaques sont un problème avec Jetons et LocalStorage. Mais ce n'est pas parce Angulaire nettoie tout, de prévenir efficacement XSS attaques. (https://angular.io/guide/security#angulars-cross-site-scripting-security-model)
- XSRF attaques sont un problème avec Cookies, et vous devez mettre en place votre propre cadre de la sécurité à traiter avec eux.
Par conséquent, je vous recommande une norme JWT Jeton approche pour gérer votre jeton. Depuis votre jeton est signé avec le JWT format, c'est la solution la plus sûre à mon avis. Bien sûr, une norme jeton aurait besoin d'être chiffré ou signé (pas le même) pour être vraiment sûr.

Vraiment facile à mettre en place et gère avec les bibliothèques appropriées (telles que https://github.com/auth0/angular2-jwt)

Pour aller plus loin : j'imagine que votre jeton serait utilisé pour l'authentification, et être conscients que les gens ont déjà travaillé avec cela et savoir ce qui est bon /mauvais, pratique de les utiliser.

Vous devriez jeter un oeil à la façon dont les authentifications sont gérés à partir du travail des sites web (tels que Twitter, Facebook, etc...), où ils Actualisation des Jetons. Voici quelques liens supplémentaires qui pourraient vous intéresser :
- https://auth0.com/learn/refresh-tokens/
- https://auth0.com/docs/tokens/refresh-token/current
EDIT : ajout de liens sur les meilleures pratiques avec JWT :
- https://dev.to/neilmadden/7-best-practices-for-json-web-tokens (Partie 6 et 7)
- https://medium.com/vandium-software/5-easy-steps-to-understanding-json-web-tokens-jwt-1164c0adfcec
Merci pour la réponse, je suis en utilisant jwt jetons, mais la façon dont c'est mieux? Je viens de mettre ce jeton dans un en-tête, et ce jeton est déchiffre à côté serveur, mais tout ather qui a ce jeton, pouvez simplement copier coller dans son navigateur, et de l'utiliser aussi bien, ou il me manque quelque chose?
En gros, depuis angulaire protège votre contre les attaques XSS, personne ne devrait être en mesure d'obtenir le JWT de la localStorage. Et même si quelqu'un a réussi à obtenir un jeton, l'idée d'utiliser short-lived jeton (avec le principe de l'actualisation de jeton pour obtenir des nouvelles de courte durée jetons d'accès), le jeton stocké obsolète et non valides très rapide. Je vais éditer le post et ajouter plus de liens qui expliquent qu'en profondeur.

OriginalL'auteur Alex Beugnet
-1

Son plus sur la façon dont vous allez valider que la façon dont vous stockez jeton, ce que la sécurité des majors que vous avez prises pour valider la même chose sur le côté serveur.

Vous devez vous assurer que la demande est venue de client valide et non nuisible à la source, si vous avez de la SCRO API compatible.

Si vous utilisez un Jeton pour stocker confedential info, vous avez besoin de le chiffrer avant de le ranger.

Espérons que cette aide!!

OriginalL'auteur Madhu Ranjan

Vous devez vous connecter pour publier un commentaire.