JWT /会话Cookie身份验证混合算法

Question

我希望在我们当前的项目中使用JWT来澄清安全方面的问题。

基本上，它现在是这样运作的：

1. 用户在身份验证服务中使用用户名+密码进行身份验证
2. 前端获取JWT
3. 前端可以在与后端的通信中使用此JWT。

但由于许多原因，这似乎不安全，因此我们到目前为止讨论了这一问题，并提出了一些使其更加安全的想法：

• 此外，加密JWT，基本上形成一个嵌套的JWT (JWE)，并在注销时使用黑名单.但是这里的问题仍然是为什么要使用JWT而不是像共享会话和Redis服务那样的有状态身份验证
• 实现Api网关，使前端或用户获得会话cookie，并且网关与JWT一起用于后端和auth。不幸的是，我没有发现像这样的实现

我们只是希望在登录/注销中是安全的，并且在将来可以扩展，这样可能会有X个其他后端。

对任何错误表示歉意，英语不是我的第一语言，我很乐意回答有关这方面的任何问题。

保重。

Answer 1

您是对的，将令牌保存在前端有一些安全问题。当前的最佳实践是尝试将令牌完全排除在浏览器之外。我们已经描述了一种可能的解决方案，即令牌处理器模式。它为您的系统增加了更多的复杂性，但使您能够在前面使用安全会话而不是任何令牌。我们提供了令牌处理程序所需组件的一些实现，您可以查看如何在这里运行完整的示例：https://curity.io/resources/learn/token-handler-spa-example/

至于您的第一个想法，如果您想实现黑名单令牌，那么您实际上是在实现会话，您最好使用cookie和普通的旧HTTP会话。JWEs保护令牌的内容，但是攻击者仍然可以窃取这样的令牌并使用它调用您的API。