Esistono molti articoli in cui si discute su quale sia il posto migliore per memorizzare JWT sul lato client. In breve, sono tutti circa -: cookie vs intestazione
solo HTTP sicuro cookie - non XSS, ma vulnarable a XSRF
Header (salvato nella memoria locale o DOM) - non XSRF, ma vulnarable a XSS
penso di trovare una soluzione estremamente di buon senso a questo, ma, visto che sono niubbo completo in sicurezza non sono sicuro se è davvero di buon senso o stupido.
Quindi, cosa succede se dividere JWT e salvarne una parte nel cookie e un'altra parte nell'intestazione? Sarebbe inviolabile?
Questo dovrebbe anche risolvere 'disconnettersi' problematici -. L'eliminazione di parte di testa del browser renderebbe incapace di registrazione in
Con i migliori saluti, Eugene.
Ma un cookie aggiuntivo per la protezione da XSRF significa mantenere la sessione lato server, giusto? Se è così, incollare JWT insieme è molto più semplice e leggero. E ancora, se solo una parte di JWT è immagazzinata nell'archivio locale, può essere di qualsiasi valore per un utente malintenzionato? – user656449