Si alguien roba el token, puede hacerse pasar por su usuario. Generalmente almacenamos JWT en cookies, lo que nos hace vulnerables a los ataques XSS y CSRF.
Hay tres cosas importantes que hacer:
- Use HTTPS : TLS de extremo a extremo evita que alguien intercepte o detecte las solicitudes en el cable y robe el token.
- Almacene los tokens de forma segura en el cliente : si almacena su token en una cookie, asegúrese de usar el indicador HttpOnly para evitar el robo a través de XSS y use la protección CSRF en todos sus formularios.
- Vence los tokens : si todo lo demás falla, y un token se roba, una expiración sensata asegurará que solo haya un período de tiempo limitado para que el token pueda usarse para causar daño.
Solo la parte de la firma del token está encriptada y contiene: encabezado + cuerpo / reclamo + secreto, para verificar la integridad / autenticidad del token. Todo lo demás solo está codificado en Base64.
- ¿Laravel es adecuado para el desarrollo de aplicaciones web empresariales?
- ¿Cuáles son las últimas tendencias al crear una API tranquila en .NET?
- ¿Alguien ha intentado aplicar ingeniería inversa a una aplicación web, si es así, esta es una buena / mala forma de aprender?
- ¿Django es una buena opción para una aplicación web tipo cuestionario?
- ¿Por qué el espacio de seguimiento de tareas en línea / seguimiento de problemas / gestión de proyectos está tan lleno?