Angulaire 2/4 où stocker jeton
J'ai une api rest pour la génération d'un jeton, je suis en utilisant angulaire 4 côté client, mais la question est de savoir où stocker ce jeton.
Dans l'internet, j'ai trouvé que je peux stocker dans des locaux de stockage ou dans le cookie.
Donc ma question est, si l'option stocker le jeton est le local de stockage par exemple, et j'ai juste copié le jeton valide à partir d'un autre navigateur, puis je vais avoir un jeton valide, donc il n'y a aucune sécurité de stocker le jeton comme ça, et en fait la même chose avec les cookies, ou peut-être que j'ai raté quelques informations importantes?
Double Possible de Angular2 des cookies au lieu de localstorage
Ce n'est pas un doublon, car ici la sécurité est en cause, ce qui n'est pas le cas sur l'autre post.
Ce n'est pas un doublon, car ici la sécurité est en cause, ce qui n'est pas le cas sur l'autre post.
OriginalL'auteur user2870934 | 2017-09-19
Vous devez vous connecter pour publier un commentaire.
Voici un article complet sur les Jetons /Cookies qui peuvent vous donner beaucoup de connaissances sur ce sujet : auth0 : les Cookies VS Jetons
Je vais vous citer les parties les plus importantes pour vous faire comprendre ce que seront les prochaines :
Donc en gros pour résumer :
Par conséquent, je vous recommande une norme JWT Jeton approche pour gérer votre jeton. Depuis votre jeton est signé avec le JWT format, c'est la solution la plus sûre à mon avis. Bien sûr, une norme jeton aurait besoin d'être chiffré ou signé (pas le même) pour être vraiment sûr.
Vraiment facile à mettre en place et gère avec les bibliothèques appropriées (telles que https://github.com/auth0/angular2-jwt)
Pour aller plus loin : j'imagine que votre jeton serait utilisé pour l'authentification, et être conscients que les gens ont déjà travaillé avec cela et savoir ce qui est bon /mauvais, pratique de les utiliser.
Vous devriez jeter un oeil à la façon dont les authentifications sont gérés à partir du travail des sites web (tels que Twitter, Facebook, etc...), où ils Actualisation des Jetons. Voici quelques liens supplémentaires qui pourraient vous intéresser :
EDIT : ajout de liens sur les meilleures pratiques avec JWT :
https://dev.to/neilmadden/7-best-practices-for-json-web-tokens (Partie 6 et 7)
https://medium.com/vandium-software/5-easy-steps-to-understanding-json-web-tokens-jwt-1164c0adfcec
En gros, depuis angulaire protège votre contre les attaques XSS, personne ne devrait être en mesure d'obtenir le JWT de la localStorage. Et même si quelqu'un a réussi à obtenir un jeton, l'idée d'utiliser
short-lived
jeton (avec le principe de l'actualisation de jeton pour obtenir des nouvelles de courte durée jetons d'accès), le jeton stocké obsolète et non valides très rapide. Je vais éditer le post et ajouter plus de liens qui expliquent qu'en profondeur.OriginalL'auteur Alex Beugnet
Son plus sur la façon dont vous allez valider que la façon dont vous stockez jeton, ce que la sécurité des majors que vous avez prises pour valider la même chose sur le côté serveur.
Vous devez vous assurer que la demande est venue de client valide et non nuisible à la source, si vous avez de la SCRO API compatible.
Si vous utilisez un Jeton pour stocker confedential info, vous avez besoin de le chiffrer avant de le ranger.
Espérons que cette aide!!
OriginalL'auteur Madhu Ranjan