Spring OAuth2 Password Flow, Return JWT inside HTTP Only Cookie?

Я использую AuthorizationServerConfigurerAdapter для настройки потока паролей OAuth2, где я успешно создаю токен JWT. I am using my OAuth2 within my Spring REST backend and pairing it with my Angular 2 fronted.

Я прочитал несколько статей (например. https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage ) где люди помещают JWT внутри http только cookie, возвращенного в угловой передний конец, чтобы предотвратить сценарии XSS, и это представляет для меня интерес. Я в замешательстве, как интегрировать или перехватить мой JWT возвращается и поместить это внутри http только cookie и вернуть его.

Есть Предложения?

Джон

1 ответ

  1. Я бы не рекомендовал использовать поток паролей вообще, особенно в клиенте браузера. OAuth2 был разработан таким образом, чтобы вы могли избежать этого, и таким образом избежать предоставления учетных данных пользователя ненадежному агенту. Если вы отпустите парольные гранты, вы обнаружите, что сессионный cookie так же безопасен, как и Ваше предложение JWT cookie, и он работает из коробки без смешного бизнеса на клиенте или сервере.