Usbforwindows
- ¿Cómo guardo un token JWT en una cookie??
- ¿Cómo guardo JWT en httpOnly cookie??
- ¿Cómo almaceno tokens JWT en el almacenamiento local??
- ¿Dónde se deben almacenar los tokens JWT??
- ¿Es seguro almacenar el token de acceso en la cookie??
- ¿Es httpOnly Cookie seguro??
- ¿Es seguro almacenar JWT en localStorage??
- ¿Puede JavaScript establecer la cookie HttpOnly??
- ¿Cómo actualizo los tokens JWT??
- ¿Qué sucede cuando expira el token JWT??
- ¿Son seguros los tokens JWT??
- ¿Es JWT lo mismo que OAuth??
¿Cómo guardo un token JWT en una cookie??
Refactorización para almacenar JWT en una cookie. El primer paso para dejar de usar cookies es hacer que nuestra API establezca una cookie en el navegador del usuario después de que inicie sesión correctamente. Las cookies se establecen en el navegador si la respuesta a una llamada HTTP contiene un encabezado Set-Cookie.
¿Cómo guardo JWT en httpOnly cookie??
Almacene su token de acceso en la memoria y almacene el token de actualización en la cookie: Enlace a esta sección
- Utilice la marca httpOnly para evitar que JavaScript lo lea.
- Utilice el indicador seguro = verdadero para que solo se pueda enviar a través de HTTPS.
- Utilice el indicador SameSite = estricto siempre que sea posible para evitar CSRF.
¿Cómo almaceno tokens JWT en el almacenamiento local??
Primero debe crear o generar token a través de Jwt (jsonWebTokens) y luego almacenarlo en el almacenamiento local o mediante una cookie o mediante la sesión. Generalmente prefiero el almacenamiento local porque es más fácil almacenar el token en el almacenamiento local a través de SET y recuperarlo usando el método GET.
¿Dónde se deben almacenar los tokens JWT??
La mayoría de las personas tienden a almacenar sus JWT en el almacenamiento local del navegador web. Esta táctica deja sus aplicaciones abiertas a un ataque llamado XSS. Solo discutiremos XSS en el contexto de JWT, puede encontrar más al respecto aquí.
¿Es seguro almacenar el token de acceso en la cookie??
El almacenamiento local es vulnerable porque es fácilmente accesible mediante JavaScript y un atacante puede recuperar su token de acceso y usarlo más tarde. Sin embargo, aunque no se puede acceder a las cookies de httpOnly mediante JavaScript, esto no significa que, al usar cookies, esté a salvo de los ataques XSS que involucren su token de acceso.
¿Es httpOnly Cookie seguro??
Todo lo que hace es evitar que el script lea la cookie. ... HttpOnly no protegerá en absoluto si hay alguna página que refleje los valores de la cookie desde el servidor. Un XSS podría simplemente leer la respuesta del servidor.
¿Es seguro almacenar JWT en localStorage??
Si no tiene una buena razón para guardar su JWT en el almacenamiento local, no lo haga! Predeterminado para almacenarlo en una cookie (con las banderas seguras, httpOnly y sameSite establecidas). Si tiene una buena razón para guardarlo en el almacenamiento local, hágalo!
¿Puede JavaScript establecer la cookie HttpOnly??
Una cookie HttpOnly significa que no está disponible para lenguajes de script como JavaScript. Entonces, en JavaScript, no hay absolutamente ninguna API disponible para obtener / configurar el atributo HttpOnly de la cookie, ya que de lo contrario anularía el significado de HttpOnly .
¿Cómo actualizo los tokens JWT??
La idea es generar dos tokens: un token de acceso (válido por 10 minutos) y un token de actualización, con una vida útil más larga. Cada vez que expira el token de acceso, la aplicación del lado del cliente envía una solicitud para generar un nuevo token de acceso, utilizando el token de actualización.
¿Qué sucede cuando expira el token JWT??
Ese usuario básicamente tiene de 5 a 10 minutos para usar el JWT antes de que caduque. Una vez que expire, usarán su token de actualización actual para intentar obtener un nuevo JWT. Dado que se revocó el token de actualización, esta operación fallará y se verán obligados a iniciar sesión nuevamente.
¿Son seguros los tokens JWT??
El uso seguro de JWT va más allá de verificar sus firmas. Aparte de la firma, el JWT puede contener algunas otras propiedades relacionadas con la seguridad. Estas propiedades vienen en forma de reclamos reservados que se pueden incluir en el cuerpo del JWT. El reclamo de seguridad más importante es el reclamo "exp".
¿Es JWT lo mismo que OAuth??
JWT y OAuth2 son completamente diferentes y tienen diferentes propósitos, pero son compatibles y se pueden usar juntos. El protocolo OAuth2 no especifica el formato de los tokens, por lo tanto, los JWT se pueden incorporar al uso de OAuth2.
