在基于web的应用程序中，应该在哪里正确安全地存储JWT令牌？

1. JWT不应存储在本地存储
2. 事实上，它们甚至不应该存储在您的Cookie中，除非您能够实施非常严格的CSRF保护

看看这个动机

• JWT 作为id_token就像您的用户凭据
• JWT 作为access_token就像您的会话令牌

最安全的选择是在内存中。看看这个进行深度潜水

使用基于令牌的身份验证，您可以选择存储JWT的位置。我们强烈建议您将令牌存储在本地存储/会话存储或cookie中。

通常，JWT被放在浏览器的本地存储中，这对于大多数用例来说工作得很好。

使用用户名和密码登录用户时，响应正文包含access_tokenJWT。然后您需要在客户端代码中处理此响应。然后可以将此令牌存储在local存储或会话存储中。

单击此处查看使用会话存储的示例

本地存储和会话存储都扩展了存储。它们之间的唯一区别是数据的持久性：

local存储-数据会持续存在，直到显式删除。所做的更改会被保存并可用于当前和未来对站点的所有访问。

< code>sessionStorage -保存所做的更改，并可用于当前页面，以及同一窗口中对该站点的未来访问。一旦窗口关闭，存储就会被删除。

• 与cookie不同，本地存储被沙盒到特定域，其数据不能被任何其他域（包括子域）访问
• Web存储可以通过同一域上的JavaScript访问，因此在您的站点上运行的任何JavaScript都可以访问Web存储，因此很容易受到跨站点脚本（XSS）攻击
• 开发人员必须确保JWT始终通过HTTPS发送，而不是HTTP

您还可以使用cookie来存储JWT。设置cookie的确切方式取决于您使用的客户端语言。

有不同的选项来控制cookie的生命周期：

• 浏览器关闭后可以销毁Cookie（会话Cookie）
• 实现服务器端检查（通常由正在使用的web框架为您完成），您可以实现过期或滑动窗口过期
• Cookie可以是持久的（在浏览器关闭后不会被销毁），并且会过期
• 如果设置了＜code＞httpOnly＜/code＞标志，则JavaScript和服务器端代码都可以读取Cookie，或者只有服务器端才能读取Cookies

< Li > cookie的最大大小仅为4kb，因此，如果您将许多声明附加到令牌，这可能会有问题。 < li > Cookies容易受到跨站点请求伪造(CSRF或XSRF)攻击。当恶意网站导致用户的web浏览器在用户当前经过身份验证的可信站点上执行不需要的操作时，就会发生这种类型的攻击。这是对浏览器如何处理cookies的利用。使用web应用程序框架的CSRF保护使cookies成为存储JWT的安全选项。通过检查HTTP Referer和< code>Origin头，也可以部分阻止CSRF。 < li >如果应用程序需要跨域访问，可能很难实现。cookie具有附加属性(域/路径),可以修改这些属性以允许您指定允许将cookie发送到的位置。

原文:https://auth 0 . com/docs/security/store-tokens #如何实现