Bazı malzemelere göre (bu kılavuz ve bu soru gibi ), JWT kullanarak REST API'nin güvenliğini sağlamak amacıyla, JWT, localStorage veya Cookies'de saklanabilir . Anladığıma göre:
- localStorage , XSS'ye tabidir ve genellikle içinde herhangi bir hassas bilginin saklanması önerilmez.
- İle Çerezler biz hangi azaltır XSS riski bayrağı "httpOnly" başvurabilir. Bununla birlikte, arka uçtaki Çerezlerden JWT'yi okuyacaksak, CSRF'ye tabi oluruz.
Dolayısıyla, yukarıdaki önermeye dayanarak - JWT'yi Çerezlerde saklamak en iyisi olacaktır. Sunucuya yapılan her istekte, JWT Çerezlerden okunacak ve Bearer şeması kullanılarak Yetkilendirme başlığına eklenecektir. Sunucu daha sonra istek başlığındaki JWT'yi doğrulayabilir (tanımlama bilgilerinden okumak yerine).
Anladığım doğru mu? Varsa, yukarıdaki yaklaşımın herhangi bir güvenlik endişesi var mı? Ya da ilk başta localStorage kullanmaktan kurtulabilir miyiz?