我正在上关于udemy的vue课程,并查看了几个在线资源,而且它们似乎都在执行一个过程,在该过程中,我向api发送用户名和密码,并返回了jwt访问令牌。然后将令牌存储为状态(使用vuex)并支持页面刷新(并保持用户登录状态),还将jwt令牌保存到本地存储中。
由于我不使用cookie,所以我的理解是我不必担心csrf。
OWASP建议不要将令牌存储在本地存储中(主要是我相信由于存在xss漏洞)。 authO网站(https://auth0.com/docs/security/store-tokens)说我应该将其存储在内存中(例如,就像我用vuex一样)。
我该如何遵循不使用本地存储的建议,并确保如果用户刷新页面时仍保持登录状态(没有cookie),或者这将无法实现。
答案 0 :(得分:0)
首先,我不是安全专家。如果您的公司有一位安全官员,那么您可能也要在那里讨论此事。
OWASP指出您不应将敏感信息存储在localStorage(或WebSQL / IndexDb)中。但是我认为您应该平衡选择。如果由于某些真正敏感的信息而使用户每次都需要登录是可以的,则您可以放弃sessionStorage或将令牌保留在内存中。否则,只需使用localStorage。例如:打F12并查看SO正在使用什么:LocalStorage。
上也有一个很好的答案