SPA,Web API持票人令牌安全问题
问题描述:
持票人:指携带或持有某物的人或物。SPA,Web API持票人令牌安全问题
这意味着通过角度应用程序登录一次,并且可以使用相同的令牌从邮递员或小提琴或任何其他网站的任何地方使用。
在Angular 4中,我们可以将标记存储在cookie/localstorage/sessionstorage中,但可以轻松访问和使用它。
那么如何保护我们的令牌和Web API只使用来自其创建位置的令牌。
答
如果令牌只在cookie中,请尝试将cookie放在httponly上。还可以尝试在cookie上设置samesite =严格或类似的属性。这样它只会被你的网站使用。
注意:SameSite目前仅支持最新的基于webkit或blink的浏览器。