我们目前有一个无状态REST api,由JWT承载令牌验证。 (我们的每个服务器都信任传入的JWT令牌,只要它未过期,加载用户,并使用加载的用户进行身份验证。)
我们目前将JWT令牌存储在localstorage中,以方便开发。但是,我们开始实施安全和防御,我们希望改变我们的实施。所以:
我们将JWT令牌作为HTTPonly和secure Cookie发送(顺便说一下,这意味着我们不必在客户端上管理它Javascript,因为,我们不能。)
我们将在JWT响应中包含CSRF令牌。
几个问题:
介绍CSRF将状态引入我们的系统,因为我们必须在所有服务器上共享此令牌。虽然不是无国籍的纯粹主义者,但这确实让我感到困扰。还有其他方法可以解决这个问题吗?
我们每次都应该更改CSRF令牌吗?如果我们不这样做,似乎还有30分钟(我们的超时设置)值得漏洞。但是,如果我们这样做,是否会引入可能产生多个API调用的页面的时序问题?