Boa tarde. Se de alguma maneira houver uma cópia do token JWT e um repasse a outro client, a "sessão" poderá ser acessada por outrem?
É possível evitar isso, caso sim? Como armazenar com segurança o token no client?
Obrigado
Solucionado (ver solução)
Solucionado
(ver solução)
2
respostas
respostas
Copia de Token
solução!
Oi Marcos,
Essa é uma questão realmente importante e complicada :D
Não existe uma maneira de proteger totalmente o token de ser "copiado" para outro computador. Se isso acontecer, o token vai ser válido no outro computador e as requisições feitas por ele serão aceitas normalmente.
O que existem são recomendações de segurança ao lidar com tokens de autorização:
- Utilizar o protocolo HTTPS na comunicação entre cliente <-> servidor, pois isso vai evitar que hackers obtenham os tokens via ataques do tipo MITM(Man-In-The-Middle)
- Armazenar o token preferencialmente em cookies com a flag http only, evitando com isso que eles possam ser recuperados via ataques do tipo XSS(Cross-Site Scripting)
- Configurar os tokens para terem vida curta(tokens que expiram em um curto período de tempo), pois assim se algum token "vazar", ele somente poderá ser utilizado por um curto período de tempo.
Essas são as principais recomendações ao se trabalhar com tokens, mas mesmo adotando todas elas, ainda assim haverá risco de acesso indevido a eles.
Bons estudos!
Muito obrigado!