Dostęp

Czy można bezpiecznie przechowywać token dostępu w lokalnym magazynie

Czy można bezpiecznie przechowywać token dostępu w lokalnym magazynie
  1. Czy można przechowywać token dostępu w lokalnej pamięci?
  2. Gdzie powinienem przechowywać mój token dostępu?
  3. Przechowuje JWT w lokalnej pamięci masowej?
  4. Czy powinienem przechowywać token dostępu w bazie danych?
  5. Czego nie powinieneś przechowywać w lokalnej pamięci?
  6. Jest lokalna pamięć masowa niż pliki cookie?
  7. Może być skradzione token?
  8. Jakie jest najlepsze miejsce do przechowywania JWT?
  9. Jest lokalna pamięć podatna na XSS?
  10. Jest lokalna pamięć podatna na CSRF?
  11. Gdzie powinienem przechowywać token dostępu i odświeżyć token?
  12. Gdzie zachowujesz frontend token dostępu?
  13. Czy można bezpiecznie przechowywać token w bazie danych?
  14. Jak długo powinien trwać dostęp do tokenów?
  15. Jeśli buforujesz tokeny dostępu?

Czy można przechowywać token dostępu w lokalnej pamięci?

Z drugiej strony, LocalStorage jest potencjalnie podatny na ataki skryptów między witryną (XSS). Jeśli napastnik może wstrzyknąć złośliwy JavaScript na stronę internetową, może ukraść token dostępu w LocalStorage. Ponadto, w przeciwieństwie do plików cookie, LocalStorage nie zapewnia bezpiecznych atrybutów, które można ustawić, aby zablokować ataki.

Gdzie powinienem przechowywać mój token dostępu?

Zwykle praktyką jest przechowywanie tokenów dostępu w pamięci sesji przeglądarki lub lokalnej pamięci. Wynika to z faktu, że musimy utrzymywać tokeny dostępu do przeładowań stron, aby zapobiec ponownej awarii na każdym przeładowaniu. Zapewnia to lepsze wrażenia użytkownika.

Przechowuje JWT w lokalnej pamięci masowej?

JWT musi być przechowywany w bezpiecznym miejscu w przeglądarce użytkownika. W każdym razie nie należy przechowywać JWT w lokalnej pamięci (lub pamięci sesji). Jeśli przechowujesz go w Localstorage/SessionStorage, można go łatwo złapać za pomocą ataku XSS.

Czy powinienem przechowywać token dostępu w bazie danych?

Niektóre tokeny dostępu trwają godzinę lub dwie i dobrze nadają się do przechowywania w sesji. Inne to tokeny długoterminowe, na przykład Facebook zapewnia 60-dniowy token, a one są bardziej sensowne do przechowywania w bazie danych. Tak czy inaczej, przechowywanie tokena uwolni nas od konieczności proszenia użytkownika o ponowne zezwolenie.

Czego nie powinieneś przechowywać w lokalnej pamięci?

Biorąc pod uwagę potencjalne wektory, w których złośliwe aktorzy mogą uzyskać dostęp do informacji na temat lokalnego przechowywania przeglądarki, łatwo jest zrozumieć, dlaczego poufne informacje, takie jak informacje osobowe (PII), tokeny uwierzytelniania, lokalizacje użytkowników i klawisze API itp., nigdy nie powinien być przechowywany w lokalnym magazynie.

Jest lokalna pamięć masowa niż pliki cookie?

Chociaż pliki cookie nadal mają pewne luki, jest to preferowane w porównaniu z lokalą. Dlaczego? Zarówno LocalStorage, jak i pliki cookie są podatne na ataki XSS, ale atakującego trudniej jest wykonać atak, gdy używasz plików cookie httponly.

Może być skradzione token?

Chociaż te tokeny są przydatne do umożliwienia kluczowych usług IT, są również podatne na kradzież.

Jakie jest najlepsze miejsce do przechowywania JWT?

JWT powinien być przechowywany w plikach cookie. Możesz użyć httponly i bezpiecznych flag w zależności od wymagań. Aby chronić przed CSRF SameSite Atrybut plików cookie, można ustawić na ścisłe, jeśli ogólnie pasuje do Twojej aplikacji - uniemożliwia to zalogowane użytkowników Twojej witryny do skorzystania z dowolnego linku do Twojej witryny z dowolnej innej witryny.

Jest lokalna pamięć podatna na XSS?

Ataki XSS wstrzykują złośliwe skrypty do aplikacji internetowych i niestety zarówno LocalStorage, jak i SessionStorage są podatne na ataki XSS. Ataki XSS mogą być używane do uzyskania danych z obiektów pamięci i dodawania złośliwych skryptów do przechowywanych danych.

Jest lokalna pamięć podatna na CSRF?

Zarówno LocalStorage, jak i pliki cookie są podatne na ataki XSS, ale atakującego trudniej jest wykonać atak, gdy używasz plików cookie httponly. Pliki cookie są podatne na ataki CSRF, ale można je złagodzić za pomocą flagi Samesite i tokenów anty-CSRF.

Gdzie powinienem przechowywać token dostępu i odświeżyć token?

Jeśli aplikacja używa rotacji odświeżania tokenu, może teraz przechowywać ją w lokalnej pamięci lub pamięci przeglądarki. Możesz użyć usługi takiej jak Auth0, która obsługuje rotację tokenów.

Gdzie zachowujesz frontend token dostępu?

Gdzie powinienem przechowywać moje tokeny na froncie? Istnieją dwa powszechne sposoby przechowywania tokenów. Pierwszy znajduje się w LocalStorage, a drugi w plikach cookie. Istnieje wiele debaty, nad którą lepsze jest, gdy większość ludzi pochyla się w kierunku ciasteczek, ponieważ są one bezpieczniejsze.

Czy można bezpiecznie przechowywać token w bazie danych?

Nie przechowuj ani nie używaj tokenów dostępowych OAuth ani odśwież tokenów w Internecie lub klientach mobilnych. Tokeny dostępu do OAuth i tokeny odświeżania powinny być szyfrowane i przechowywane w bezpiecznej bazie danych. Twoja aplikacja powinna użyć silnego standardu szyfrowania, takiego jak AES.

Jak długo powinien trwać dostęp do tokenów?

Domyślnie tokeny dostępu są ważne przez 60 dni, a programowe tokeny odświeżania są ważne przez rok. Członek musi ponieść ponowne autoryzowanie aplikacji, gdy wygasa tokeny odświeżania.

Jeśli buforujesz tokeny dostępu?

Tokeny pamięci podręcznej

Ponieważ pobieranie nowych tokenów jest drogie, zalecamy użycie pamięci podręcznej tokenu, aby zapobiec niepotrzebnym żądaniom. Po odzyskaniu tokena przechowuj go w pamięci podręcznej, takiej jak memcached lub wbudowany ASP.Usługa pamięci podręcznej netto.

Wyjście Tor Browser nie używa węzłów wyjściowych z określonego kraju na niektórych stronach internetowych
Tor Browser nie używa węzłów wyjściowych z określonego kraju na niektórych stronach internetowych
Jak określić krainę węzłów wyjściowych w Tor?Czy węzły wyjściowe są zagrożone?Co to jest węzły wyjściowe w Tor?Czy możesz wybrać lokalizację z TOR?Il...
Przeglądarka Tor utknął w „Obwodach budowlanych ustanowienie obwodu Tor”
Tor utknął w „Obwodach budowlanych ustanowienie obwodu Tor”
Jak uzyskać nowy obwód Tor?Co to jest obwód Tor?Dlaczego moje strony Tor nie ładują?Jak sprawdzić obwód Tor?Ile przekaźników znajduje się w obwodzie ...
Http Blokuj ruch HTTP
Blokuj ruch HTTP
Czy zapora blokuje http?Czy powinienem zablokować HTTP?Jak zablokować adres URL HTTPS?Czy możemy wyłączyć HTTP?Jest bezpieczny HTTP nad VPN?Czy powin...