Насколько безопасно аутентифицировать токен JWT из интерфейса React?
У меня традиционный опыт работы с HTML, frontend JS, css, поэтому я немного подозрительно отношусь к аутентификации токена из внешнего интерфейса.
Таким образом, когда пользователь входит в систему, JWT будет сгенерирован на сервере и отправлен клиенту. С тех пор я буду хранить его в localStorage или sessionStorage, чтобы аутентифицировать их «во внешнем интерфейсе» каждый раз, когда пользователь пытается получить доступ к частным маршрутам. Переходя от традиционного «всегда взаимодействия клиента с сервером», мне интересно, насколько безопасен этот подход. (хотя я знаю, что декодирование JWT - это один и тот же процесс, независимо от того, происходит ли это в бэкэнде или во внешнем интерфейсе). Итак, есть ли какие-либо дополнительные нарушения безопасности, которые я должен учитывать при маршрутизации на внешнем интерфейсе, в отличие от маршрутизации на внутреннем интерфейсе?
РЕДАКТИРОВАТЬ**
Кроме того, не станет ли мой секрет доступным для всех, если я буду декодировать его на веб-интерфейсе?
Ответы 1
Этот подход безопасен, и секрет не будет раскрыт всем. Серверное приложение обычно считывает основной uid и access_token.
Очень важно использовать TLS / SSL вместе с JWT, чтобы предотвратить атаки типа «злоумышленник в середине». В большинстве случаев этого будет достаточно для шифрования полезной нагрузки JWT, если она содержит конфиденциальную информацию. Однако, если мы хотим добавить дополнительный уровень защиты, мы можем зашифровать саму полезную нагрузку JWT, используя спецификацию JSON Web Encryption (JWE).
Конечно, если мы хотим избежать дополнительных накладных расходов, связанных с использованием JWE, другой вариант - просто хранить конфиденциальную информацию в нашей базе данных и использовать наш токен для дополнительных вызовов API к серверу всякий раз, когда нам нужно получить доступ к конфиденциальным данным.