是否有任何理由使用HTTP头授权发送JWT令牌?
我混淆了使用授权头和cookie。
如果我使用cookie,
服务器将在cookie中发送JWT令牌。(客户端将存储在cookie中)。
如果我使用授权报头,服务器将通过报头发送JWT令牌,客户端将令牌存储在本地存储。
我想两者都容易受到安全攻击。我已经检查了几个帖子,但只说这两种方法都是危险的。
请帮助我理解这一点。谢谢你。
从API的角度来看,处理授权报头可能比处理cookie报头更简单。后者可能包含许多cookie,然后您必须解析所有cookie并找到所需的标头。
在客户端使用令牌而不是cookie将更好地处理跨域请求。在某些情况下,第三方cookie可能会被丢弃。
不过,正如Tore指出的那样,避免在浏览器中存储令牌更安全。您可以查看我们在security创建的令牌处理程序模式,以了解使用BFF的可能性。
与cookie相比,使用授权头稍微安全一些,因为您不太容易受到CSRF攻击。但是,在这两种情况下,您都容易受到XSS攻击。
理想情况下,您不应该在浏览器中存储令牌,而是使用本视频中描述的BFF模式:
alert ' oauth 20 ';//XSS对spa中OAuth 20的影响