我正在开发角度和弹簧的应用程序。我对无状态后端的安全感有点困惑。这是流程 -
在请求标头中我发送电子邮件并传递base64编码服务器返回一个包含jwt标记的cookie
因为它只是一个http和安全标志cookie客户端与它无关。在每次向服务器发出请求时,它都会附加到请求标头。
为了深入了解用户活动,我使用mouse-enter,mouseleave函数在db中发布活动。
我通过发送客户端令牌来保护我的应用免受csrf
我不太确定它是否足够安全以及我是否真的需要存储任何令牌或cookie相关数据以确保安全。
答案 0 :(得分:2)
人们似乎对确保无国籍后端持怀疑态度。例如,官方Spring Angular guide引用:
使用会话进行身份验证和CSRF保护肯定是一件好事
Spring Security项目负责人Rob Winch的演讲也是一个值得关注的宝石:The State of Securing RESTful APIs with Spring
事实上,看看这些,我总结说我的API仍然是有状态的,而不是不必要地重新发明敏感的安全轮。