Cookie 令牌认证
Cookie token authentication
我有一个 MERN 应用程序,我在其中使用 create/authenticate 用户的护照,并通过将散列的 JWT 令牌存储在 HttpOnly 安全 cookie 中来保持身份验证状态。
唯一的问题是,如果我在 Chrome 中登录 User A,并将 cookie 复制到其他浏览器,如 Edge,令牌对后端有效,并且用户在 Edge 浏览器中显示为已登录。
由于我正在尝试实施 csrf 令牌,因此验证应该会失败,对吗?
实施此类身份验证的最佳做法是什么?
这是默认行为。要防止 CSRF,请使用 SameSite=lax cookie 属性 and\or anti-CSRF tokens
我有一个 MERN 应用程序,我在其中使用 create/authenticate 用户的护照,并通过将散列的 JWT 令牌存储在 HttpOnly 安全 cookie 中来保持身份验证状态。 唯一的问题是,如果我在 Chrome 中登录 User A,并将 cookie 复制到其他浏览器,如 Edge,令牌对后端有效,并且用户在 Edge 浏览器中显示为已登录。
由于我正在尝试实施 csrf 令牌,因此验证应该会失败,对吗? 实施此类身份验证的最佳做法是什么?
这是默认行为。要防止 CSRF,请使用 SameSite=lax cookie 属性 and\or anti-CSRF tokens