我通過與智威湯遜認證的安全性在我的腦海一些結構問題的工作,我想弄清楚以下幾點:智威湯遜是否共享/存儲用於在客戶端和服務器上簽名的祕密?
如何JWT安全地傳遞服務器和客戶端之間的祕密?
看看下面的摘錄從https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage/ ....................
CSRF可以通過使用能夠防止同步的令牌模式。這聽起來很複雜,但所有現代Web框架都支持這一點。
例如,AngularJS有一個解決方案來驗證該cookie只能被您的域訪問。直從AngularJS文檔:
「當執行XHR請求時,$ http服務讀取來自一個cookie令牌(默認XSRF-TOKEN),並且將它作爲一個HTTP報頭(X-XSRF-TOKEN)。由於只有在您的域上運行的JavaScript才能讀取cookie,因此您的服務器可以確保XHR來自運行在您的域上的JavaScript。 您可以通過包括xsrfToken JWT要求使這種CSRF保護無國籍:」
{ "iss": "http://galaxies.com", "exp": 1300819380, "scopes": ["explorer", "solar-harvester", "seller"], "sub": "[email protected]", "xsrfToken": "d9b9714c-7ac0-42e0-8696-2dae95dbc33e" }
- 客戶如何創建和發送包含一個有效的請求xsrfToken聲稱,除非它在包含索賠之後可以首先簽署JWT? (這xsrfToken畢竟是什麼應該保持EvilBob僞造的請求吧?)可以在這裏http://spring.io/blog/2013/08/21/spring-security-3-2-0-rc1-highlights-csrf-protection/找到
更多關於我目前的JWT XSRF過程的瞭解細節。
哇,非常感謝你@SilverlightFox。這是非常全面和非常有用的,包括多種選擇。非常感謝反饋。 – PLanger