我是角度4的新手 . 我的问题是如何处理angular4中的安全性 . 我正在使用rest web服务和JWT令牌来获取用户信息 .
我的登录流程是:
用户登录 - >返回JWT令牌 - >存储在本地存储/会话存储中 .
将此JWT令牌发送给每个请求 .
现在,如果我在其他浏览器中复制此令牌,它将显示其他用户的信息 .
所以我想如果用户将粘贴令牌复制到其他浏览器/私有窗口然后用户logedout .
任何的想法???
如果用户将JWT复制到另一个浏览器,则服务器无法检测到 . 例如 . 您可以将用户代理存储在JWT中,并检查来自HTTP请求和JWT的用户代理字符串是否相同,但攻击者可以轻易地绕过这一点 .
您可以将JWT绑定到特定的IP .
有_186717会话 . 看看XSS .
它没有100%的防守 .
当然,你可以存储一些额外的信息,如 MAC 地址或smth,并用你的 JWT 标记来映射它们,但基本上,这将是毫无意义的 .
MAC
JWT
2 回答
如果用户将JWT复制到另一个浏览器,则服务器无法检测到 . 例如 . 您可以将用户代理存储在JWT中,并检查来自HTTP请求和JWT的用户代理字符串是否相同,但攻击者可以轻易地绕过这一点 .
您可以将JWT绑定到特定的IP .
有_186717会话 . 看看XSS .
它没有100%的防守 .
当然,你可以存储一些额外的信息,如
MAC
地址或smth,并用你的JWT
标记来映射它们,但基本上,这将是毫无意义的 .