HTTP 패킷에서 JWT 토큰을 처리하는 표준적이고 안전한 방법은 무엇입니까?HTTP 패킷 (쿠키, 헤더 또는 JSON)에 JWT 토큰을 포함하는 올바른 방법
JWT가 쿠키로 설정되어서는 안되며, 브라우저가 자동으로 세션을 가로 채기 때문에 쿠키가 세션 도용을하게되므로 일반 세션 아이디 쿠키보다 JWT 토큰에 대한 추가 값을 제공하지 않습니다.
따라서 JWT 토큰을 헤더 또는 JSON 속성으로 포함해야합니까, 아니면 이것이 실제 문제입니까?
당신이 의미하는 것 : 그리고 당신은, 컬 -X GET -H "... X-액세스 토큰을"
@TuomasToivonen은 '쿠키가 값에 액세스하지 못하도록하는 쿠키'로 'HttpOnly'쿠키를 의미합니다. 봐봐. ''태그와 같습니다. 기본적으로 자동으로 승인 헤더를 추가 할 수 없습니다. 쿠키는 자동으로 요청에 첨부되지만 인증 헤더에는 포함되지 않습니다. 예 쿠키는 추가 보호 기능이없는 경우 CSRF 요청을 허용합니다. – Evert
그래서 전반적인 쿠키 + csrf 토큰 접근은 csrf 및 xss –