我是角度 4 的新手。 我的问题是如何在 Angular4 中处理安全性。我正在使用休息网络服务和 JWT 令牌获取用户信息。
我的登录流程是:
用户登录 -> 返回 JWT 令牌 ->存储在本地存储/会话中 存储。
将此 JWT 令牌发送到每个请求。
现在,如果我在其他浏览器中复制此令牌,它将显示其他用户的信息。
所以我希望如果用户将粘贴令牌复制到其他浏览器/私人窗口,然后用户注销。
有什么想法吗???
服务器无法检测到用户是否将 JWT 复制到另一个浏览器。 例如,您可以将用户代理存储在 JWT 中,并检查来自 HTTP 请求和 JWT 的用户代理字符串是否相同,但这很容易被攻击者规避。
不过,您可以将 JWT 绑定到特定 IP。
总有一种方法可以从其他用户那里"窃取"cookie和令牌,将它们粘贴到您的浏览器中,从而窃取用户的会话。看看XSS。
没有100%的防御。
当然,您可以存储一些额外的信息,例如MAC地址或smth,并将它们与您的JWT令牌映射,但基本上,这将毫无意义。