React.js SPAセキュリティの問題

Question

Node.jsのサーバーサイドレンダリングに反応してSPAのアプリケーションを保護する方法については議論したいが、別のサーバーでAPIにアクセスすることで脆弱ではないさまざまなクロスサイト攻撃やその他のセキュリティ問題が含まれます。

APIサーバーでJWTトークンが発行されていますが、これはページをリロードした後にAPIサーバーに送信できるようにトークンをクッキーに格納することを意味します。よりよい解決策がありますか？

ありがとう

Answer 1

トークンと認証のすべての検証を行うゲートウェイを1つ作成することをお勧めします。あなたが必要とするもののために。

1）あなたのトークンとセッションデータを格納するためのredis。

2）あなたのトークンをブラウザに保存しないでください。あなたは、クライアントのクッキーに保存することができますいくつかの特別な saltedhashを生成する必要がありますのRedisからトークンにアクセスするための

3）。（クッキーの安全なだけクロスドメイン攻撃の HTTP）

4）のために、このクッキーを使用しますリクエストがあなたのapiサーバーに送られる前に、ゲートウェイ上でトークンを取得して検証します。