yuk*_*kio 7 django-authentication django-sessions django-rest-framework django-rest-framework-jwt django-rest-framework-simplejwt
我想使用最安全的方法将登录的用户会话存储在 cookie 中。后端是基于 Django 和 DRF 构建的,因此我在用于令牌身份验证的 simplejwt 插件或 djangos 默认 SessionAuth 之间进行选择。前端不是 SPA,但最终也会有一个移动应用程序。所以我一直倾向于令牌身份验证,将它们存储在寿命较短的 httpOnly cookie 中。但那时,我想知道我是否本质上只是以一种迂回的方式进行会话身份验证?
对于该应用程序,一个比另一个更好(就安全性而言)?
我认为不存在最安全的身份验证方法。每种方法都有优点和缺点。要拥有一个安全的应用程序,不仅需要良好的身份验证,还需要其他安全最佳实践。
互联网上有一个神话,认为 httpOnly cookie 可以在 XSS 情况下拯救你,但这是不真实的。对于XSS,可以直接读取localStorage中存储的值。Cookie 中的值(无论是否为 httpOnly)可用于 XSS 的恶意请求(它们不会像 localStorage 中那样直接访问,但可用于“不良”请求,例如更改密码)。为了防止 XSS,请不要在 cookie 或 localSotrage 中存储任何身份验证数据。每次刷新网站时强制用户登录 - 这是最安全的。
在我看来,身份验证没有灵丹妙药,如果您计划添加移动应用程序,也许一个好的解决方案可能是使用令牌身份验证(可以是 JWT 或 DRF 令牌或 django-rest-knox)。
我使用的是 DRF 令牌 + Djoser,它具有管理身份验证所需的所有 URL(而且很简单)。Djoser 的一个很好的功能是它会在注销时删除令牌并在登录时创建一个新令牌。当有人窃取您的令牌时,只需注销,该令牌就会失效。我将令牌存储在 localStorage 中。我正在使用 React,它有一些 XSS 防御机制。此外,我正在使用内容安全策略和 HTTPS(使用 Let's encrypt)。我只使用受信任的软件包。我希望这能为应用程序提供安全性。100%安全吗?可能不是……有什么东西连接到互联网是100%安全的吗?可能不会。我的建议是尽最大努力确保安全。
| 归档时间: |
|
| 查看次数: |
2242 次 |
| 最近记录: |