在基于浏览器的应用程序中保存JWT以及如何使用它的位置

10 浏览2023年7月16日

匿名的 2023年7月16日

0 Comments

我正在尝试在我的身份验证系统中实现JWT，并且有几个问题。为了存储令牌，我可以使用cookies，但也可以使用localStorage或sessionStorage。

哪个选择最好？

我已经了解到JWT可以防止CSRF。然而，如果我将JWT令牌保存在cookie存储中，我无法想象它如何防止CSRF。

它如何防止CSRF呢？

更新1

我看到了一些用法示例，如下所示：

curl -v -X POST -H "Authorization: Basic VE01enNFem9FZG9NRERjVEJjbXRBcWJGdTBFYTpYUU9URExINlBBOHJvUHJfSktrTHhUSTNseGNh"

当我从浏览器向服务器发起请求时，我该如何实现这个呢？我还看到一些人在URL中实现了令牌：

http://exmple.com?jwt=token

如果我通过AJAX发送请求，我可以设置一个类似于jwt：[token]的头部，然后我可以从头部读取令牌。

更新2

我安装了Google Chrome浏览器的Advanced REST Client扩展，并能够将令牌作为自定义头部传递。在使用Javascript向服务器发起GET请求时是否可以设置这个头部数据？

在浏览器中存储JWT的位置在哪里？如何防止CSRF攻击？

保护对抗CSRF和XSS（哈希+加密）

CSRF保护与JSON Web Tokens

我必须将令牌存储在cookie、localstorage或session中吗？

JWT与基于令牌的身份验证的Cookie比较

为什么在单页应用程序中建议将API令牌存储在cookie中，当XSS取消CSRF时。

可以在Laravel中进行编码并在JavaScript中进行解码的JWT。

Firebase Auth的本地（持久化的身份验证状态）在浏览器中是否安全可靠，能够防止XSS和CSRF攻击？

如何使用jQuery从AJAX请求中发送一个令牌

在ReactJS中将JWT存储在localStorage中是否安全？

Invalidating client side JWT session 无效化客户端的JWT会话

身份验证和授权 - angularjs和Web API

当localStorage/sessionStorage被禁用时，使用jQuery作为备选方案。

我如何让一个运行在另一个域上的客户端在Rails API中设置JWT到一个cookie中？

PYTHON - 如何使JWT令牌无效？

如果 JWT 被盗了会怎么样？

使用JWT在Asp.net Web API上实现身份验证

JWT（JSON Web Token）Java库【关闭】

现代网络应用最常见的身份验证方式是什么？