node.js - 如果 jwt 使用强算法加密,将 jwt 有效负载存储在 localStorage 中是否安全?
问题描述
我有一个带有 React 前端和节点服务器的有效身份验证过程。当用户登录时,服务器会返回一个加密的 jwt,其中的有效负载包含潜在的敏感信息(电子邮件、地理位置等)。然后将有效负载存储在上下文中。如果用户稍后返回网站,应用程序将检查本地存储中是否存在有效令牌,然后再次填充上下文。这减少了服务器上的负载并加快了应用程序的速度。
React 对 xss 是安全的,所以从技术上讲,我不应该担心任何小偷。但是,我想让事情尽可能安全,不要做愚蠢的赌注。
我使用 jsonwebtoken 节点的库。它允许我使用更强大的算法(例如 ES512)加密 jwt,这比 base-64 加密安全得多。如果攻击者窃取了 jwt,他会设法在没有密钥的情况下对其进行解密吗?这个过程真的不安全吗?
如果没有,那么我将只发送一个带有用户 ID 的基本 jwt,并在用户每次刷新页面或访问网站时根据它自动获取用户信息。感谢您的输入。
解决方案
推荐阅读
- javascript - 在javascript中的箭头函数中传递对象
- javascript - Webpack 在运行时构建
- r - 使用 end() 返回 xts 对象的最后日期
- mirth - 频道部署中的 Mirth Connect 错误
- android-studio - 错误处理/合并清单
- laravel - Firebase Admin SDK 推送通知无法衡量
- android - 反应本机(博览会)应用程序APK不起作用
- c# - C# EntityFramework 包含引用及其引用,如何?
- python - 如何使用 Flask-SQLAlchemy 将 SQLAlchemy JSON 反序列化为十进制
- angular - 父组件监听子组件中包含的输入