Où puis-je stocker les secrets JWT ?

2024 Auteur: Lynn Donovan | [email protected]. Dernière modifié: 2023-12-15 23:46

Boutique JWT en toute sécurité

UNE JWT doit être stocké dans un endroit sûr dans le navigateur de l'utilisateur. Si tu boutique dans localStorage, il est accessible par n'importe quel script à l'intérieur de votre page (ce qui est aussi mauvais que cela puisse paraître, car une attaque XSS peut permettre à un attaquant externe d'accéder au jeton).

La question est également: où dois-je stocker les clés API ?

Au lieu d'intégrer votre Clés API dans vos candidatures, boutique dans des variables d'environnement ou dans des fichiers en dehors de l'arborescence des sources de votre application. Ne pas stocker les clés API dans les fichiers à l'intérieur de l'arborescence des sources de votre application.

De plus, dois-je stocker JWT dans la base de données ? Tu pourrait stocker les JWT dans le db mais vous perdez certains des avantages d'un JWT . Les JWT vous donne l'avantage de ne pas avoir besoin à vérifier le jeton dans un db à chaque fois puisque vous pouvez simplement utiliser la cryptographie à vérifiez que le jeton est légitime. Vous pouvez toujours utiliser JWT avec OAuth2 sans stockage jetons dans le db si tu veux.

Ici, où stockez-vous le jeton JWT réagissez ?

Stockage du jeton JWT Nous pouvons boutique en tant que cookie côté client ou dans un localStorage ou sessionStorage. Il y a des avantages et des inconvénients dans chaque option, mais pour cette application, nous allons boutique dans sessionStorage.

Où sont stockés les jetons d'accès ?

3 réponses. Le client, dans la terminologie OAuth, est le composant qui envoie des requêtes au serveur de ressources, dans votre cas, le client est le serveur d'une application Web (PAS le navigateur). Par conséquent, la jeton d'accès doit être stocké sur le serveur d'applications Web uniquement.