如何存儲(chǔ)這些令牌。如果你正在構(gòu)建一個(gè)web應(yīng)用程序，你有兩種選擇:

• HTML5 Web Storage (localStorage或sessionStorage)
• Cookies

比較這兩個(gè)，假設(shè)我們有一個(gè)虛構(gòu)的AngularJS或單頁(yè)應(yīng)用(SPA)叫做galaxies.com，登錄路由(/token)驗(yàn)證用戶身份返回一個(gè)JWT。訪問(wèn)你的SPA其他API端點(diǎn)服務(wù)，客戶端需要傳遞一個(gè)有效的JWT。

單一頁(yè)面應(yīng)用程序的請(qǐng)求將會(huì)類似:

HTTP/1.1
 
POST /token
Host: galaxies.com
Content-Type: application/x-www-form-urlencoded
 
username=tom@galaxies.com&password=andromedaisheadingstraightforusomg&grant_type=password

你的服務(wù)器的響應(yīng)會(huì)根據(jù)你是否使用cookie或Web Storage而變化。為了比較，讓我們看看如何兩者兼顧。

JWT localStorage或sessionStorage(Web存儲(chǔ))

用username和password交換JWT存儲(chǔ)在瀏覽器存儲(chǔ)中(sessionStorage或localStorage)是相當(dāng)簡(jiǎn)單的。響應(yīng)正文將包含JWT作為一個(gè)訪問(wèn)令牌:

HTTP/1.1 200 OK
 
  {
  "access_token": "eyJhbGciOiJIUzI1NiIsI.eyJpc3MiOiJodHRwczotcGxlL.mFrs3Zo8eaSNcxiNfvRh9dqKP4F1cB",
       "expires_in":3600
   }

在客戶端，你可以將這個(gè)令牌存儲(chǔ)在HTML5 Web存儲(chǔ)中(假設(shè)我們有一個(gè)成功的回調(diào)函數(shù))：

function tokenSuccess(err, response) {
    if(err){
        throw err;
    }
    $window.sessionStorage.accessToken = response.body.access_token;
}

回傳訪問(wèn)令牌到你受保護(hù)的API，你將使用HTTP Authorization Header和Bearer組合。請(qǐng)求你的SPA將會(huì)像:

HTTP/1.1
 
GET /stars/pollux
Host: galaxies.com
Authorization: Bearer eyJhbGciOiJIUzI1NiIsI.eyJpc3MiOiJodHRwczotcGxlL.mFrs3Zo8eaSNcxiNfvRh9dqKP4F1cB

JWT Cookie Storage

用username和password交換JWT存儲(chǔ)在cookie中也很簡(jiǎn)單。響應(yīng)使用Set-Cookie HTTP頭:

HTTP/1.1 200 OK
 
Set-Cookie: access_token=eyJhbGciOiJIUzI1NiIsI.eyJpc3MiOiJodHRwczotcGxlL.mFrs3Zo8eaSNcxiNfvRh9dqKP4F1cB; Secure; HttpOnly;

回傳訪問(wèn)令牌到你同一領(lǐng)域受保護(hù)的API，瀏覽器將自動(dòng)包括cookie的值。請(qǐng)求你受保護(hù)的API將類似于:

GET /stars/pollux
Host: galaxies.com
 
Cookie: access_token=eyJhbGciOiJIUzI1NiIsI.eyJpc3MiOiJodHRwczotcGxlL.mFrs3Zo8eaSNcxiNfvRh9dqKP4F1cB;

那么，有什么區(qū)別呢？

如果你比較這些方法，兩者都獲取一個(gè)JWT到瀏覽器。兩者都是無(wú)狀態(tài)的，因?yàn)槟愕腁PI需要的所有信息都在JWT中。都是簡(jiǎn)單的傳遞備份到你受保護(hù)的API。區(qū)別在于介質(zhì)。

JWT sessionStorage和localStorage的安全性

Web存儲(chǔ)(localStorage/sessionStorage)可以通過(guò)同一域上JavaScript訪問(wèn)。這意味著任何在你的網(wǎng)站上運(yùn)行的JavaScript都可以訪問(wèn)Web存儲(chǔ)，因?yàn)檫@樣容易受到跨站點(diǎn)腳本（XSS）攻擊。XSS，簡(jiǎn)而言之，是一種漏洞，攻擊者可以注入在頁(yè)面上運(yùn)行的JavaScript?；镜腦SS攻擊試圖通過(guò)input表單注入JavaScript,攻擊者將<script>alert('You are Hacked');</script>放入表單，以查看其是否能被瀏覽器運(yùn)行，并能被其他用戶查看。

為了防止XSS，普通的響應(yīng)是避開和編碼所有不可信的數(shù)據(jù)。但這遠(yuǎn)不是故事的全部。2015年，現(xiàn)代的web應(yīng)用程序使用托管在CDN或者外部基礎(chǔ)設(shè)施上的JavaScript。現(xiàn)代的Web應(yīng)用程序使用第三方JavaScript庫(kù)，用于A/B測(cè)試、 funnel/market analysis和廣告。我們使用像Bower這樣的包管理器導(dǎo)入別人的代碼到我們的應(yīng)用程序。

如果你使用的腳本中有一個(gè)被盜用了怎么辦?惡意的JavaScript可以嵌入到頁(yè)面上，并且Web存儲(chǔ)被盜用。這些類型的XSS攻擊可以得到每個(gè)人的Web存儲(chǔ)來(lái)訪問(wèn)你的網(wǎng)站，沒(méi)有他們的知識(shí)。這可能是為什么許多組織建議不要在Web存儲(chǔ)中存儲(chǔ)任何有價(jià)值或信任任何Web存儲(chǔ)中的信息。這包括會(huì)話標(biāo)識(shí)符和令牌。

作為一種存儲(chǔ)機(jī)制，Web存儲(chǔ)在傳輸過(guò)程中不強(qiáng)制執(zhí)行任何安全標(biāo)準(zhǔn)。無(wú)論誰(shuí)讀取和使用Web存儲(chǔ)，必須進(jìn)行盡職調(diào)查以確保他們總是通過(guò)HTTPS發(fā)送JWT，絕不用HTTP。

JWT Cookie存儲(chǔ)的安全性

Cookies，當(dāng)使用帶有HttpOnly的cookie標(biāo)志時(shí)，通過(guò)JavaScript是無(wú)法訪問(wèn)的，并且對(duì)XSS是免疫的。你還可以設(shè)置安全的cookie標(biāo)志來(lái)保證cokie僅通過(guò)HTTPS發(fā)送。這是過(guò)去利用cookie存儲(chǔ)令牌或會(huì)話數(shù)據(jù)的主要原因之一?，F(xiàn)代開發(fā)人員不愿使用cookie,因?yàn)樗鼈兺ǔＲ鬆顟B(tài)被存儲(chǔ)在服務(wù)器上,從而打破RESTful的最佳實(shí)踐。如果你在cookie上存儲(chǔ)JWT，cookie作為存儲(chǔ)機(jī)制不用將狀態(tài)存儲(chǔ)在服務(wù)器上。這是因?yàn)镴WT封裝了所有服務(wù)器需要服務(wù)的請(qǐng)求。

然而，cookies容易受到不同類型的攻擊：跨站點(diǎn)請(qǐng)求偽造(CSRF)。CSRF攻擊是當(dāng)一個(gè)惡意網(wǎng)站，電子郵件或博客導(dǎo)致用戶在當(dāng)前已驗(yàn)證用戶的可信站點(diǎn)上的web瀏覽器中，執(zhí)行一個(gè)有害的動(dòng)作時(shí)發(fā)生的攻擊。這是一個(gè)瀏覽器如何處理cookies的漏洞。cookie只能被發(fā)送到的允許的域中。默認(rèn)情況下，這個(gè)是最初設(shè)置cookie的域。請(qǐng)求將發(fā)送一個(gè)cookie無(wú)論你在galaxies.com或hahagonnahackyou.com。

CSRF的工作試圖引誘你到hahagonnahackyou.com。該網(wǎng)站將有一個(gè)img標(biāo)記或JavaScript來(lái)模擬一個(gè)表單post到galaxies.com，并試圖劫持你的會(huì)話，如果它仍然有效，就修改您的帳戶。

例如：

<body>
 
  <!– CSRF 用img標(biāo)簽 –>
 
  <img  />
 
  <!– 或用一個(gè)隱藏表單post–>
 
  <script type="text/javascript">
  $(document).ready(function() {
    window.document.forms[0].submit();
  });
  </script>
 
  <div style="display:none;">
    <form action="http://galaxies.com/stars/pollux" method="POST">
      <input name="transferTo" value="tom@stealingstars.com" />
    <form>
  </div>
</body>

兩者都將發(fā)送cookie為galaxies.com，并可能導(dǎo)致未經(jīng)授權(quán)的狀態(tài)改變。使用同步令牌模式，CSRF是可以預(yù)防的。這聽起來(lái)很復(fù)雜，但是所有現(xiàn)代的web框架都支持這個(gè)。

例如，AngularJS有一個(gè)解決方案去驗(yàn)證，只能由你的域才能訪問(wèn)cookie。直接來(lái)自AngularJS文檔:

當(dāng)執(zhí)行XHR請(qǐng)求時(shí)，$http服務(wù)從cookie中讀取令牌(默認(rèn)，XSRF-TOKEN)并將其作為一個(gè)http頭(X-XSRF-TOKEN)。因?yàn)橹挥蠮avaScript運(yùn)行在你的域才可以讀取cookie,你的服務(wù)器可以確信XHR來(lái)

自你的域中運(yùn)行的JavaScript。通過(guò)包含一個(gè)xsrfToken JWT claim，你可以讓這個(gè)CSRF保護(hù)無(wú)狀態(tài)。

{
  "iss": "http://galaxies.com",
  "exp": 1300819380,
  "scopes": ["explorer", "solar-harvester", "seller"],
  "sub": "tom@andromeda.com",
  "xsrfToken": "d9b9714c-7ac0-42e0-8696-2dae95dbc33e"
}

如果我使用Stormpath SDK for AngularJS，獲得無(wú)狀態(tài)CSRF保護(hù)沒(méi)有開發(fā)工作。

利用你的web應(yīng)用程序框架的CSRF保護(hù)，使得cookies存儲(chǔ)JWT絕對(duì)可靠。CSRF也可以從你的API中通過(guò)檢查HTTP Referer和原始header部分阻止。CSRF攻擊將有與應(yīng)用程序無(wú)關(guān)的Referer和原始heade。

雖然他們更安全的存儲(chǔ)你的JWT，cookies可能導(dǎo)致一些開發(fā)商頭痛，這取決于你的應(yīng)用程序的運(yùn)轉(zhuǎn)是否需要跨域訪問(wèn)。只是知道cookies有附加屬性(域名/路徑)，可以對(duì)其進(jìn)行修改，從而允許你指定cookie的發(fā)送位置。使用AJAX，你的服務(wù)器端也可以通知瀏覽器證書(包含Cookies)是否應(yīng)該隨著CORS請(qǐng)求發(fā)送。

結(jié)論

JWTs是一個(gè)很棒的身份驗(yàn)證機(jī)制。它們給你一個(gè)結(jié)構(gòu)化的方式聲明用戶和它們可以訪問(wèn)的內(nèi)容?？梢詫?duì)它們進(jìn)行加密和簽名來(lái)防止在客戶端進(jìn)行篡改，但魔鬼在于細(xì)節(jié)和你把它們存放在哪里。
Stormpath建議你把JWT存儲(chǔ)到Web應(yīng)用程序的cookies中，因?yàn)樗麄兲峁┑念~外的安全性，防止現(xiàn)代web框架CSRF的簡(jiǎn)單性。HTML5 Web存儲(chǔ)很容易受到XSS攻擊，有一個(gè)更大的攻擊面積，一個(gè)成功的攻擊會(huì)影響所有應(yīng)用程序的用戶。