Где я могу хранить секреты JWT?

2025 Автор: Lynn Donovan | [email protected]. Последнее изменение: 2025-01-22 17:38

Магазин JWT безопасно

А JWT должно быть хранится в безопасном месте в браузере пользователя. если ты хранить он находится внутри localStorage, он доступен для любого скрипта на вашей странице (что так плохо, как кажется, поскольку атака XSS может позволить внешнему злоумышленнику получить доступ к токену).

Также вопрос в том, где мне хранить ключи API?

Вместо того, чтобы встраивать свой Ключи API в ваших приложениях, хранить их в переменных среды или в файлах за пределами исходного дерева вашего приложения. Не надо хранить ключи API в файлах внутри исходного дерева вашего приложения.

Кроме того, следует ли хранить JWT в базе данных? Ты мог хранить в JWT в db но вы теряете некоторые преимущества JWT . В JWT дает вам то преимущество, что вам не нужно к проверить токен в db каждый раз, так как вы можете просто использовать криптографию к убедитесь, что токен является законным. Вы все еще можете использовать JWT с OAuth2 без хранение токены в db Если хочешь.

Итак, где вы храните реакцию на токен JWT?

Хранение токена JWT Мы можем хранить это как файл cookie на стороне клиента или в localStorage или sessionStorage. У каждого варианта есть свои плюсы и минусы, но для этого приложения мы хранить это в sessionStorage.

Где хранятся токены доступа?

3 ответа. Клиент, в терминологии OAuth, - это компонент, который делает запросы к серверу ресурсов, в вашем случае клиент является сервером веб-приложения (НЕ браузером). Следовательно токен доступа должны храниться только на сервере веб-приложений.