使用jsonwebtoken的登录安全性
我目前正在使用React在一个网站上工作,我希望能够有用户登录。现在,我的策略是在提交时将表单数据发送到服务器(express),如果信息与我的数据库中的用户匹配,服务器将发回一个签名的JWT,其中没有敏感信息(只有用户名)。
一旦客户机接收到JWT,我就将它添加到localStorage中,并将它的解码数据添加到redux存储中。我计划让我的redux存储当前登录的用户。
if(localStorage.jwtToken) { // If token present, most likely a user is signed in
setAuthorizationToken(localStorage.jwtToken) // Set that token to head all api calls
store.dispatch(setCurrentUser(jwt.decode(localStorage.jwtToken))) // Set user in redux store
}
共有1个答案
另一个人怎么能得到你的代币?给出令牌所需的过期时间。可以尝试不同的方法来保护令牌,特别是在API端提供更多的安全性。登录时,在数据库中存储日志活动,并创建唯一的字段来标识其ip地址或用户代理,或者检测用户以前是否击中登录endpoint。
-
问题内容: 我即将在我的网站中包含一个登录系统,但是我认为使用ajax发送a并从名为login.php的外部php脚本接收确认并以与退出登录相同的方式对安全性不是一个好主意另一个logout.php任何建议 问题答案: 我想不出使用Ajax处理登录和注销的任何安全隐患。在ajax和服务器端层之间来回发送什么内容(只要不从服务器向客户端发送纯文本密码)都没有关系,因为会话将是保持授权状态的会话。 但
-
在这里,我已经设置了默认的安全域 以下是我在web.xml中的配置: 以下是AIS.Properties中的配置: UserBean登录功能: 它给了我以下例外:
-
通过设置安全码,从而达到隐藏登录页的效果,保证页面的私有性。 /app/Application/Admin/Conf/config.php return array( 'LOGIN_MAX_FAILD' => 5, 'BAN_LOGIN_TIME' => 30, //登录失败5次之后需等待30分钟才可再次登录 'ADMIN_PANEL_SECURITY_CODE' => '
-
和maven依赖关系...
-
我正在使用带有java配置和两个HttpSecurity配置的spring-security 3.2.0.rc2。一个用于REST API,一个用于UI。当我发布到/logout时,它重定向到/login?logout,但随后(错误地)重定向到/login。当我成功地输入用户名和密码时,我会被重定向到登录-注销,并且必须再次输入凭据才能进入主页面。因此,似乎login的permitAll不被用于l
-
问题内容: 我正在尝试确定基于ajax的登录表单进行身份验证和设置客户端cookie的最安全方法。 和 http://www.codinghorror.com/blog/archives/001167.html 所以,我想我的核心问题是… 1)使用纯Ajax设置cookie是否安全,如果是,最安全的方法是什么(httpOnly + SSL +加密值等)? 2)纯ajax方法是否涉及设置cookie