Мы делаем приложение Html5 AngularJS. Мы используем аутентификацию на основе токенов. Процесс аутентификации регистрирует пользователя, тогда токен JWT возвращается в приложение, которое хранится в sessionStorage.Аутентификация на основе токена - уязвимость системы безопасности?
Мы запросили аудит безопасности в приложении, и тестер сказал, что большая проблема заключается в том, что токен хранится в sessionStorage. Потому что он может копировать токен и олицетворять пользователя с другого устройства.
Где и как хранить этот токен, чтобы убедиться в его безопасности? Является ли это даже оставить его риск в памяти сеанса, так как хакеру нужен доступ к реальному устройству для выполнения этой атаки
приветы
AFAIK, любой может отслеживать токен, если вы храните токен в локальном виде (хранение сеанса, локальное хранилище, cookie, JSON) и отправляете на последующие вызовы, но мы можем повысить уровень безопасности на стороне службы (например, Разрешение запроса из того же домена, логика истечения токена ... и т. Д.,) – Asik