Đây là thiết lập của tôi:cửa hàng JWT thẻ trong cookie
- 1 máy chủ xác thực mà đưa ra JWT mã thông báo thành công xác thực.
- Nhiều máy chủ tài nguyên API cung cấp thông tin (khi người dùng được xác thực).
Bây giờ tôi muốn xây dựng giao diện người dùng ASP.NET MVC của mình. Tôi có nhận được mã thông báo mà tôi nhận được sau khi xác thực và đặt nó vào cookie để tôi có thể truy cập vào nó bằng mọi cuộc gọi được bảo đảm mà tôi cần phải thực hiện không? Tôi sử dụng DLL RestSharp để thực hiện các cuộc gọi http của mình. Nếu nó có lỗ hổng bảo mật thì tôi nên lưu mã thông báo của mình ở đâu?
Tôi sẽ sử dụng mã này cho cookie:
System.Web.HttpContext.Current.Response.Cookies.Add(new System.Web.HttpCookie("Token")
{
Value = token.access_token,
HttpOnly = true
});
đảm bảo nó cũng chỉ là HTTPS bằng cách thêm cờ an toàn! – Tilo
[Trả lời] (http://stackoverflow.com/a/40376819/204699) với câu hỏi liên quan về vị trí lưu trữ mã thông báo trong ứng dụng trình duyệt có thể chứa thông tin bổ sung hữu ích. –