我正在创建一个用于前端Reactjs和后端SpringBoot(REST(的应用程序。
我想使用 JWT 令牌以确保安全。由于窃取 JWT 刷新令牌可能意味着安全问题,我想问问您以下方案是否有效:
-
后端
- 登录时创建访问 JWT 和刷新 JWT
- 在有效负载部分中设置相同的唯一UUID(因此我在它们之间创建了一个"链接"(。
- 将刷新JWT的哈希代码保存在数据库中(用于将来的有效性检查(
- 在正文访问 JWT 中作为响应返回,作为 cookie 刷新 - JWT 返回。
-
前端
- 将访问-JWT 存储在本地存储中
- 将刷新-JWT 存储为 cookie
现在,在来自前端的每个请求中,我将考虑两个令牌(标头中的访问 JWT 和作为 cookie 的刷新 JWT(。我检查它们是否具有相同的唯一 UUID。如果他们这样做,我将继续为他们进行验证过程。
这样做,我正在消除XSS和CSRF攻击,假设它们不会同时进行。因此,如果访问 JWT 被盗,攻击者将不会拥有刷新 JWT,反之亦然。
请分享您的想法。谢谢。
您应该避免发明自己的身份验证/会话管理方案,因为微小的细节可能会破坏整个系统的安全性。
引用 Auth0 的 我应该使用哪个 OAuth 2.0 流?
此外,还应注意,隐式授予不会返回刷新令牌,因为浏览器无法将其保持私有(请阅读 SPA 和刷新令牌面板以获取解决方法(。
我建议使用标准的OpenID Connect(或OAuth 2.0(流程 - 在您的情况下是隐式流程。