我试图在后端使用Django和DRF构建一个web应用程序,在前端使用ReactJs,我希望将它们分开(即避免服务器端呈现).For身份验证目的,我想使用JWT,并为此使用djangorestframework-jwt我在几个地方读过,在本地存储JWT是不安全的,所以我尝试使用HttpOnly cookie。可以通过将django服务器配置为发送HttpOnly来实现这一点,方法是在项目JWT_AU
浏览 4提问于2021-03-21得票数 1
1回答
在localStorage中存储JWT安全吗?问题是,我尝试在httpOnly设置为true的情况下将JWT存储在NodeJS中的cookie中。但问题是,我无法使用通用cookie访问reactJS中的cookie。httpOnly设置为true的nodeJS生成的cookies不能在ReactJS客户端上访问,这是真的吗?那
浏览 15提问于2020-11-23得票数 2
回答已采纳
我可以通过登录从API请求JWT,但是我不想将它存储在本地存储中,因为这是不安全的。如果cookies不是HttpOnly的话,情况也是如此。我觉得一个信使应用程序不会要求用户每次重新启动浏览器时都要登录,所以我需要某种持久性,这只剩下一个选项(如果我错了,请纠正我):包含会话数据的HttpOnly cookie,在本例中是一个JWT。人们使用的VueX实际上并不是持久化的,只能持久地使用本地存储,这对于存储
浏览 0提问于2018-10-17得票数 0
目前,我已经在我的web应用程序上使用了登录功能,在我发出登录请求后,服务器会响应一个包含2个令牌的JSON对象: 这是登录函数: async function login() {"access": "access_token_here",} 根据Postman的说法,这个响应还包含3个cookie: 1) access_token=access_token_here;
浏览 16提问于2020-10-29得票数 3
应用程序将使用令牌身份验证。
为了获得最大的安全性,我希望将身份验证令牌存储在javascript cookie中,这样就不能从httpOnly访问它。但是,因为无法从javascript访问cookie,所以我无法设置“Authorization: Token ...”标题。所以,我的问题是,我能否让DRF身份验证系统(或Django-Rest-Knox/Django-Rest-JWT)从cookie<e
浏览 1提问于2017-11-14得票数 13
我将基于jwt的auth添加到我的api中,并将令牌添加到头部(Authorization : Bearer {tokenhere})。我研究了如何在客户端存储它,最推荐的方法是使用HttpOnly cookie,它是在服务器上设置的,因此客户端代码无法访问它。浏览器将获取它并将其附加到将来的请求。为此,服务器必须在响应中写入此cookie,并且能够验证它,而不是头中的令牌(Authorization : Beare
浏览 1提问于2020-04-25得票数 3
我读过JWT令牌不应该存储在localStroage中,因为XSS攻击可以读取它们。提出的解决方案是在HTTPOnly cookies中存储JWT令牌,并使用反CSRF/双提交cookie。如果是这样的话,那么使用CSRF的HTTPOnly cookie中的JWT是否同样容易受到XSS的攻击呢?如果是这样的话,为什么还要麻烦w/
浏览 0提问于2016-04-11得票数 4
有谁能解释一下在React应用程序中安全地存储jwt令牌的好方法吗?
我是新的React,我认为在SharedPreferences中存储jwt令牌是不安全的。
浏览 3提问于2022-05-08得票数 0
1回答
我读过几篇关于JWT刷新令牌以及如何/为什么使用它们的文章。我在这里看到的一件事是:和刷新令牌由auth服务器作为HttpOnly cookie发送给客户端,并由浏览器在/refresh_token API调用中自动发送。因为客户端Javascript不能读取或窃取HttpOnly cookie,这比将其作为普通cookie或本地
浏览 4提问于2021-01-24得票数 6
1回答
我读过很多关于在哪里存储JWT的文章,似乎有很多人支持本地存储和cookie的争论。
若要在随后的请求中发送令牌,请将令牌存储在浏览器的本地存储中。如果令牌存储在浏览器的本地存储中,则不要担心CSRF漏洞。当令牌存储在cookie中<
浏览 0提问于2019-06-04得票数 3
我自己的身份验证服务是一个简单的rest,它在输入正确的凭据时返回一个JWT访问令牌和一个JWT刷新令牌。目前,我正在将JWT刷新令牌设置为httpOnly cookie,将JWT访问令牌设置为nextjs应用程序中的状态变量(内存中)。如何将此访问令牌传递给getServerSideProps
我想将存储在内存
浏览 3提问于2021-08-23得票数 3
我看到了许多简单的方法,比如将访问令牌设置为httpOnly cookie,但是,在我的访问令牌中有一些声明说,我的前端需要访问。我想出了解决这个问题的办法。登录时,用户提供用户名和密码,以换取以下几项:
在我的方法中,所有这些项都被设置为<
浏览 4提问于2020-07-26得票数 2
在HTTP环境中存储jwt令牌最安全的地方是什么?但是我的网络环境不能使用HTTPS。
我想知道在HTTP环境中存储<
浏览 2提问于2022-03-17得票数 0
我使用django rest框架并为我的项目响应js环境,为了存储jwt令牌本地存储,cookie是不安全的,所以我决定保存httponly cookie,如何实现身份验证?如何在http标头中传递令牌
浏览 5提问于2020-11-07得票数 0
回答已采纳
1回答
使用JWT的正确方法是什么?
、、、、
历史
会话-Cookies年龄:据我所知,JWT用于减少DB请求。会话通常存储在DB中,所有请求都需要查询来验证请求。在小型网站和web应用程序中,这不是问题,但在大型应用程序中,性能是非常重要的。刷新令牌存储在DB中,您可以通过登录和注销来控制这一点。访问令牌(一个使用时间较短的JWT令牌)到期后,客户端将请求发送到某个端点以刷新此端点中的访问令牌</e
浏览 3提问于2020-07-13得票数 2
回答已采纳
我读到了与将jwt令牌存储在本地存储中有关的一些问题,这就是为什么我试图将令牌存储在仅限于http的cookie中。我正在使用以下方法。from rest_framework.views import APIViewimport jwtresponse.set_cookie
浏览 2提问于2020-08-12得票数 5
我读过的大多数博客文章都建议使用httpOnly cookie,以便在客户端安全地存储jwt令牌(javascript应用程序)。我对此有几个问题(我在那些博客文章中找不到)。如果令牌存储在httpOnly cookie中,则javascript应用程序无法访问令牌,也无法了解当前用户的auth状态。我们如何处理这个问题?在API端“使用httpOnly
浏览 9提问于2022-03-17得票数 0
2回答
在以API为中心的应用程序上使用JWT而不是Cookies有很多优点,我知道您可以在通过浏览器访问应用程序时将令牌存储在sessionStorage上。您可以在JS代码上设置一个拦截器,在授权头上为GET请求注入JWT令牌--只要这些GET请求是从验证用户的相同代码中发出的。在这种情况下,没有拦截器在新选项卡的授权头上注入令牌。我认为服务器将接收GET请求,在授权头上查找一个JWT令牌,但不会找到它,从而拒绝该请求。当您使用Cookies时,它们总是由
浏览 6提问于2015-05-05得票数 13
回答已采纳
2回答
我想从中对JWT令牌和CSRF产生疑问,这说明了在localStorage或cookies中存储JWT的优点和缺点。
..。如果您正在使用JS从cookie中读取值,这意味着您不能在cookie上设置Httponly标志,所以现在站点上的任何JS都可以读取它,从而使其与在localStorage中存储某些东西的安全性级别完全相同在cookie<
浏览 4提问于2016-01-26得票数 7
我构建了一个Rest,它通过使用JWT和刷新令牌来处理请求。但我不知道如何在客户端存储它。我非常关心在客户端处理这些令牌的最佳实践是什么?
浏览 6提问于2020-07-15得票数 2
回答已采纳
云服务器
ICP备案
云直播
即时通信 IM
实时音视频
腾讯云开发者
