asp.net-mvc – 将JWT令牌存储在cookie中
发布时间:2020-12-16 04:13:37 所属栏目:asp.Net 来源:网络整理
导读:这是我的设置: 1个认证服务器,在成功时发出JWT令牌 认证. 多个API资源服务器,提供信息(当用户 经过验证). 现在我想构建我的ASP.NET MVC前端.是否可以获取我在认证后收到的令牌,并将其放入cookie中,以便我可以通过我需要进行的每个安全呼叫来访问它?我使用R
|
这是我的设置:
> 1个认证服务器,在成功时发出JWT令牌 现在我想构建我的ASP.NET MVC前端.是否可以获取我在认证后收到的令牌,并将其放入cookie中,以便我可以通过我需要进行的每个安全呼叫来访问它?我使用RestSharp DLL来进行http调用.如果它有安全漏洞,那么我应该在哪里存储我的令牌? 我会将此代码用于cookie: System.Web.HttpContext.Current.Response.Cookies.Add(new System.Web.HttpCookie("Token")
{
Value = token.access_token,HttpOnly = true
});
解决方法
你走在正确的道路上! cookie应始终具有HttpOnly标志,设置此标志将阻止JavaScript环境(在Web浏览器中)访问cookie.这是防止浏览器中XSS攻击的最佳方法.
您还应该在生产中使用安全标志,以确保cookie仅通过HTTPS发送. 您还需要防止CSRF攻击.这通常通过在另一个cookie中设置一个值来完成,该值必须在每个请求中提供. 我在Stormpath工作,我们写了很多关于前端安全的信息.这两个帖子可能有助于理解所有方面: Token Based Authentication for Single Page Apps (SPAs) https://stormpath.com/blog/build-secure-user-interfaces-using-jwts/ (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐
- asp.net – 是否可以根据用户角色隐藏/显示Kendo
- 使用ASP.NET WebForms的xVal示例?
- asp.net – 使用itemtemplate动态地将列添加到Gr
- asp.net – WebAPI编码cookie值
- asp.net-mvc – 是否可以使用实体框架代码首先设
- asp.net – CustomValidator不工作
- asp.net-mvc-3 – MVC3 – 如何输出要下载的文件
- asp.net – 如何提供不会被Hotmail删除的跟踪图像
- Asp.net Response.Write在ascx / aspx文件中
- asp.net-mvc – JQuery中的ViewBag
热点阅读