authentication - 如何使用 HttpOnly 身份验证会话 cookie 保护 SPA 中的路由?
问题描述
我正在开发一个 SPA (React) 应用程序,我想使用 cookie 实现身份验证以跟踪活动会话,并且仅在用户通过身份验证时才允许访问某些路由。
我想知道如何以遵循最佳实践的方式开发 SPA,以确保除非设置了会话 cookie,否则无法查看受保护的路由(需要用户身份验证的路由)。
我正在研究不同的身份验证解决方案,其中大多数似乎在成功身份验证后设置了一个具有以下属性的 HTTP cookie:SameSite、Secure 和 HttpOnly。身份验证解决方案将与 SPA 位于同一域中,因此 SameSite 对我来说很有意义。该域具有 SSL 证书,因此通信将通过 HTTPS 进行,因此安全对我来说很有意义。
但是,由于 SPA 是 javascript,它无法访问 HttpOnly cookie,因此也无法访问会话 cookie。
我可以看到这个问题的一些可能的解决方案:
- 从需要设置会话 cookie (/app) 的 NodeJS 应用程序路由提供 SPA:
在认证服务成功认证后,将用户重定向到 NodeJS 应用程序的 /app 端点,然后验证浏览器发送的 cookie。如果 cookie 有效,则提供 SPA。如果没有,请重定向到身份验证服务登录屏幕。
这种方法是我认为大多数 SSR Web 应用程序用于其每个路由的方法。但是,由于这是一个 SPA,它只需要在为应用程序服务的顶级路由上完成。
- 从身份验证服务禁用会话 cookie 上的 HttpOnly 标志
我还没有对此进行深入研究,但如果可以这样做,它会将 SPA 开放给 XSS 攻击,这是我想避免的。
这些方法中的任何一种都是正确的方法吗?我意识到有多种方法可以解决这个问题,但我怀疑存在解决这个问题的最佳实践,因为它在当今许多作为 SPA 开发的 Web 应用程序中很常见。
最后一个问题——关于 HttpOnly、Secure 和 SameSite cookie,我意识到 Chrome、Firefox、Safari 和 Edge 等浏览器会阻止人们创建具有这些属性的 cookie。但是,是否有人可以在流行的浏览器之外以某种方式创建具有这些属性的 cookie,从而访问需要用户通过身份验证过程的 Web 应用程序?
解决方案
推荐阅读
- python - 如何使用 python 脚本从一台远程服务器连接到另一台服务器?
- android - Android 画布定位和自定义
- java - HTTP2 中的堆内存分配异常
- cordova - iOS 12.2 beta:键盘不显示
- mysql - 如果它们有共同点,如何将数据从 table1 插入 table2?
- iframe - 如何使此 iframe 代码在设置网站 url 的位置工作?
- c# - Visual Studio 失去了附加到 Unity 的能力,为什么?
- c++ - 无法在派生(googlemock-fixture)类中获取覆盖方法,并回退到基夹具类以工作
- html - ul.dropdown-menu 仅在悬停时显示
- python - pyautocad 需要一个正在运行的 autoCad 软件吗?