Spring OAuth2 密码流,Return 仅 HTTP Cookie 中的 JWT?
Spring OAuth2 Password Flow , Return JWT inside HTTP Only Cookie?
我正在使用 AuthorizationServerConfigurerAdapter 配置我的 OAuth2 密码流,我在其中成功创建了 JWT 令牌。我在我的 Spring REST 后端中使用我的 OAuth2,并将它与我的 Angular 2 前端配对。
我读过几篇文章(例如 https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage),其中人们将 JWT 放入仅 HTTP cookie returned 到 Angular 前端以防止 XSS 脚本和我很感兴趣。我很困惑如何集成或拦截我的 jwt 被 returned 并将其放在仅 http cookie 和 return 中。
有什么建议吗?
约翰
我根本不建议使用密码流,尤其是在浏览器客户端中。 OAuth2 旨在避免这种情况,从而避免将用户凭据提供给不受信任的代理。如果您放弃密码授予,您会发现会话 cookie 与您的 JWT cookie 建议一样安全,并且开箱即用,在客户端或服务器上没有任何有趣的业务。
我正在使用 AuthorizationServerConfigurerAdapter 配置我的 OAuth2 密码流,我在其中成功创建了 JWT 令牌。我在我的 Spring REST 后端中使用我的 OAuth2,并将它与我的 Angular 2 前端配对。
我读过几篇文章(例如 https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage),其中人们将 JWT 放入仅 HTTP cookie returned 到 Angular 前端以防止 XSS 脚本和我很感兴趣。我很困惑如何集成或拦截我的 jwt 被 returned 并将其放在仅 http cookie 和 return 中。
有什么建议吗?
约翰
我根本不建议使用密码流,尤其是在浏览器客户端中。 OAuth2 旨在避免这种情况,从而避免将用户凭据提供给不受信任的代理。如果您放弃密码授予,您会发现会话 cookie 与您的 JWT cookie 建议一样安全,并且开箱即用,在客户端或服务器上没有任何有趣的业务。