أين يمكنني تخزين jwt

من الممكن تخزينها في الكعكات cookies او المساحة المحلية localStorage, لكل منهما مميزات وعيوب ويمكن المقارنة بينهما كالتالي:

• هجوم ال csrf : وهو نوع من الهجوم حيث يقوم المخترق بإستخدام كعكاتك في طلب مزيف حتي يحصل على المعلومات التي ليس له صﻻحية عليها, هذا الهجوم من الممكن تنفيذه من الكعكات فهنا نقطة قوة تحسب للمساحة المحلية, ولكن على الرغم من ذلك لم يعد هذا تهديداً كبيراً حيث إن أغلب أطر العمل يقومون بالحماية من هذا التهديد بشكل تلقائى بالإضافة لإمكانية وضع الxsrf-token في الطلب لضمان أنه من مصدر أمن

  {
    "iss": "http://hsoub.com",
    "exp": 1300819380,
    "xsrfToken": "xxxxxx-xxxxxxx-xxxxxxx-xxxxxx"
  }

   

• هجوم ال xss: فإن الlocalStorage معرضة أكثر لهذا الهجوم, وهو هجوم عبارة عن حقن الموقع بشفرة جافاسكريبت للحصول على معلومات , ولكن الكعكات عند وضع إشارة ال http-only, secure, same-site=strictسيكون من شبه المستحيل تنفيذ الحقن 
• مقدار البيانات الممكن حملها: حيث أن للكعكات حد أقصى من البيانات 4 كيلو بايت, لا يمكن حمل أكثر من هذا الحجم , بينما المساحة المحلية تستطيع تحمل 5 ميجا بايت والذي يعد فرق شاسع

لتخزين jwt هناك خياران:

• ذاكرة المتصفح 
• HttpOnly ملف تعريف الارتباط

الخيار الأول هو الخيار الأكثر أمانًا لأن وضع JWT في ملف تعريف ارتباط لا يزيل تمامًا خطر سرقة الرمز المميز. حتى مع ملف تعريف الارتباط HttpOnly ، لا يزال بإمكان المهاجمين المتطورين استخدام XSS و CSRF لسرقة الرموز المميزة أو تقديم طلبات نيابة عن المستخدم.
ومع ذلك ، فإن الخيار الأول ليس دائمًا عمليًا للغاية. وذلك لأن تخزين JWT في حالة React الخاصة بك سيؤدي إلى فقده في أي وقت يتم فيه تحديث الصفحة أو إغلاقها ثم فتحها مرة أخرى. يؤدي هذا إلى ترك انطباع سيئ لدى المستخدم - فأنت لا تريد أن يضطر المستخدمون إلى تسجيل الدخول مرة أخرى في كل مرة يحدّثون فيها الصفحة وستضطر لاستخدام localstorage للتخزين.

إذا لم تكن قادرًا على إبقاء JWTs في حالة التطبيق ، فسيظل الخيار الثاني يقدم بعض الفوائد. وعلى الأخص ، إذا كان تطبيقك يحتوي على أي ثغرات أمنية في XSS ، فلن يتمكن المهاجمون من سرقة الرموز المميزة للمستخدمين بسهولة.