我试图绕过ASP.NET Web API 2中基于声明的身份验证。在我的应用程序中,我使用VS 2013模板,该模板实现OAuth 2.0并使用承载令牌(我记得是JWT)。我的问题是-在客户端保留令牌的最佳方法是什么?Badrinarayanan Lakshmiraghavan在他的书中将不记名令牌描述为
不记名令牌就像现金:发现者,饲养者。
因此,将其保存到Cookie是否安全?难道不是说谁会窃取Cookie,都将拥有对该应用程序的完全访问权限?另一方面,我可以在将令牌保存到cookie之前使用哈希对令牌进行加密。足够安全吗?还有其他选择吗?我很少看到有关stackoverflow的类似问题,但从未找到令人满意的答案。
将其保存到Cookie中是否安全?
不会。cookie可能通过XSS攻击(和其他媒介)被盗。此外,由于cookie会随任何请求自动提交,因此CSRF可能会对此敏感。
我可以在将令牌保存到Cookie之前使用哈希对令牌进行加密
这也行不通。散列不是一种安全的加密方式(而且不允许解密)
还有其他选择吗?
基本上,您应该通过安全连接(HTTPS)将令牌提供给用户,但出于安全性考虑,他们应该手动提交(再次通过HTTPS)
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句