Autenticazione tramite token

8

Sono relativamente nuovo a jwt.io e all'autenticazione e sto utilizzando JWT.io nel modo seguente.

Lato server

Una volta che l'utente effettua l'accesso, genero un token con userid incorporato e lo restituisce all'utente nel corpo del messaggio

Lato client Browser / JS Sto memorizzando il token in localStorage e per ogni richiesta successiva, sto passando il token nelle intestazioni.

Authorization: Basic someEncryptedValue

Ho anche usato

X-Auth-Token: someEncryptedValue

Posso usare questo in un cookie?

Quindi sul lato server, sto verificando il token contro il segreto, controllando la scadenza, ottenendo l'id dal token e poi servendo la richiesta.

Tutto è corretto in questo flusso di lavoro?

    
posta user2727195 14.03.2017 - 05:33
fonte

3 risposte

1

Il tuo flusso di lavoro è corretto (supponendo che tu stia utilizzando HTTPS) e sì, puoi semplicemente archiviare il token in un cookie invece di passarlo nell'intestazione dell'autorizzazione.

Non consiglio l'uso di OAuth2. Implementare correttamente anche il flusso più semplice aggiungerebbe un po 'di complessità alla tua procedura di accesso, e mi sembra che tu non ne abbia bisogno dato che tutte le parti del "lato server" vivono tutte nello stesso dominio.

Se fossi in me, userei i cookie. L'adesione a schemi ben definiti lascia meno confusione e significa che il browser si occupa dell'invio e dell'aggiornamento dei cookie (ad esempio, considera come gestire le sessioni con un timeout di inattività)

    
risposta data 14.05.2017 - 17:44
fonte
0

Una buona lettura. Si tratta di salvare token su memoria locale e poi inviarli via javascript nella richiesta http.

: link

    
risposta data 14.03.2017 - 06:14
fonte
0

Tutti i browser ora supportano Auth Digest, che è sicuro anche su HTTP. A seconda dei tuoi esatti requisiti, questo potrebbe essere sufficiente.

    
risposta data 21.08.2017 - 21:46
fonte

Leggi altre domande sui tag