cookies相关内容

ASP.NET Core 使用多种身份验证方法

同时使用 Cookie 身份验证中间件和 JWT 身份验证中间件.当我登录用户时,我创建自定义声明并将它们附加到基于 cookie 的身份.我还从外部来源获得了一个 jwt 令牌,它有自己的声明(我使用这个令牌来访问外部资源).启用身份验证时,我的控制器类看起来像这样 [授权(AuthenticationSchemes = AuthSchemes)]公共类 MixedController : 控 ..
发布时间:2022-01-10 09:31:01 其他开发

为什么要将 CSRF 令牌放入 JWT 令牌中?

我想对 Stormpath 帖子,解释将 JWT 存储在 localStorage 或 cookie 中的优缺点. [...] 如果您使用 JS 从 cookie 中读取值,这意味着您无法在 cookie 上设置 Httponly 标志,所以现在您网站上的任何 JS可以读取它,从而使其具有与存储完全相同的安全级别localStorage 中的一些东西. 我试图了解他们为什么建议将 xs ..
发布时间:2022-01-10 09:25:55 前端开发

如何将 JWT 令牌存储在仅限 HTTP 的 cookie 中?

我创建了一个应用程序,它仅使用服务器根据正确的登录凭据发送的 JWT,并针对我的后端 Express.js 服务器上的任何 /api 路由进行授权. 另一方面,AngularJS 获取此令牌,将其存储在会话存储中,并使用身份验证拦截器将令牌发送回服务器. 我最近才明白这种做法有多危险. 我了解在这种情况下来回传输令牌的方法.但是,如果您想将该 JWT 存储在客户端 Javascr ..
发布时间:2022-01-10 09:21:12 其他开发

cookie 是否保护令牌免受 XSS 攻击?

我正在为基于浏览器的 Javascript Web 应用程序构建基于 JWT(JSON Web 令牌)的身份验证机制,使用无状态服务器(无用户会话!),我想一劳永逸地知道,如果使用将我的 JWT 令牌存储在 cookie 中将保护我的令牌免受 XSS 攻击,或者如果没有保护,那么在我的 Javascript 应用程序中使用浏览器本地存储并没有真正的优势. 我在 SO 和许多博客中看到过这个问 ..
发布时间:2022-01-10 09:20:20 前端开发

将凭据/令牌保存在 cookie 中?

我已经设法进行身份验证,我知道它会将令牌 (JWT) 返回给客户端.这个令牌有一个过期日期/时间,所以我正在考虑将令牌保存在 cookie 中,以便将来的登录通过身份验证,但这可能行不通. 然后我想将用户名和密码保存在 cookie 中,虽然我知道不推荐这样做?? 目前我有一个接受用户名和密码的表单,成功登录将提供一个用于访问其他端点的令牌. 表单需要包含“记住我",以便自动登录 ..
发布时间:2022-01-10 09:13:28 其他开发

Cookie 未使用 Fetch 存储

我已经阅读了我能找到的所有其他主题,但没有一个解决方案有效.我正在使用 React + Redux + Express 并尝试将 JWT 存储在 cookie 中: https://auth0.com/blog/2015/09/28/5-steps-to-add-modern-authentication-to-legacy-apps-using-jwts/ 在我的 Redux 操作中 ..
发布时间:2022-01-10 09:05:46 其他开发

在 JWT 中存储什么?

你们如何在多个设备上处理同一个用户?{admin: true} 之类的数据不会变得陈旧,除了更改它的设备吗? 这甚至应该在 JWT 中吗?如果没有,我们只需要放置用户 ID,那会不会就像一个基于 cookie 的会话,因为我们将状态存储在服务器上? 解决方案 JWT RFC 建立了三类声明: 已注册声明,例如 sub、iss、exp 或 nbf 公开声明具有公开名称或名称 ..
发布时间:2022-01-10 08:46:48 其他开发

为什么同源策略不足以防止 CSRF 攻击?

首先,我假设有一个控制输入以防止 XSS 漏洞的后端. 在this answer中,@Les Hazlewood 解释了如何在客户端保护 JWT. 假设所有通信都使用 100% TLS - 无论是在期间还是任何时候登录后 - 通过基本用户名/密码进行身份验证身份验证和接收 JWT 作为交换是一个有效的用例.这几乎就是 OAuth 2 的流程之一(“密码授予")作品.[...] 您 ..
发布时间:2022-01-10 08:44:24 其他开发

在 ASP.NET Core 中,从 Cookie 而不是 Headers 中读取 JWT 令牌

我正在将 ASP.NET Web API 4.6 OWIN 应用程序移植到 ASP.NET Core 2.1.该应用程序基于 JWT 令牌工作.但是通过 cookie 而不是标头传递的令牌.我不确定为什么不使用标题,这只是我必须处理的情况. 考虑到身份验证不是通过 cookie 完成的.cookie 仅用作传输媒体.在遗留应用程序中,CookieOAuthBearerProvider 用于从 ..
发布时间:2022-01-10 08:42:27 C#/.NET

在浏览器中存储 JWT 的位置?如何防范 CSRF?

我知道基于 cookie 的身份验证.SSL 和 HttpOnly 标志可用于保护基于 cookie 的身份验证免受 MITM 和 XSS 的影响.但是,需要采取更多特殊措施来保护它免受 CSRF 的影响.它们只是有点复杂.(参考) 最近,我发现 JSON Web Token (JWT) 作为身份验证的解决方案非常热门.我知道有关编码、解码和验证 JWT 的知识.但是,我不明白为什么有些网站 ..
发布时间:2022-01-10 08:30:50 其他开发

JWT:当用户打开新标签时如何处理 GET 请求?

在以 API 为中心的应用程序上使用 JWT 优于 Cookie 有很多优势,我知道您可以在通过浏览器访问应用程序时将令牌存储在 sessionStorage 中.您可以在您的 JS 代码上设置一个拦截器,以便在 GET 请求的 Authorization 标头中注入 JWT 令牌——只要这些 GET 请求是从对用户进行身份验证的相同代码发出的. 但是当用户通过身份验证,然后打开一个新选项卡 ..
发布时间:2022-01-09 20:29:01 前端开发

阻止人们将我的网站加载到多个标签上

我希望用户仅在他们浏览器中的一个选项卡中浏览我的网站.如何才能做到这一点?我会使用 javascript 和 cookie 吗? 例如,我有一个网站:www.example.com - 我希望我的客户只能从一个标签页中访问该网站浏览器.如果他们打开另一个选项卡并加载站点(或站点的​​子页面) - 我想要一个警报“无法打开多个实例",然后将它们重定向到错误页面. 有一点需要注意 - 如果 ..
发布时间:2022-01-09 20:14:10 前端开发

使用 JRun/ColdFusion 强制使用 HttpOnly cookie

我们需要确保 CF7 网站上的所有 cookie 都设置为 HttpOnly. 我们使用 jsessionid 来控制我们的会话,而 JRun 不会将其创建为 HttpOnly. 虽然可以修改现有 cookie 以添加此设置,但我们需要从一开始就将其设置为 HttpOnly. 有什么建议吗? 相关问题:为 HTTPS cookie 设置安全标志. 解决方案 首先,热 ..
发布时间:2022-01-09 15:21:25 其他开发

如何保护 CFID 以实现 PCI 合规性?

我们一直未能通过 PCI 扫描,因为 ColdFusion 具有可预测的 CFID.我们得到的确切 FAIL 是“Predictable Cookie Session IDs".现在 CFTOKEN 不再可预测,因为我已将 CF 配置为对 CFTOKEN 使用 UUID,但是,CFID 仍然是可预测的,并且不受 CF Admin 中的任何更改的影响. 我真的不知道为什么可预测的 CFID 是 ..
发布时间:2022-01-09 14:52:29 其他开发

Cookie 未在生产中使用 express-session 设置

我的应用分为客户端和服务器.客户端是托管在 Now.sh 上的前端 Nextjs 应用程序,服务器是使用 Express 创建并托管在 Heroku 上的后端,因此域是 client-app.now.sh 和 server-app.herokuapp.com. 身份验证 身份验证系统基于 cookie,我使用 express-session 来实现它.这是我的快速会话配置 app.u ..
发布时间:2022-01-08 23:07:57 其他开发