前端用OAuth2.0登录时,如何安全地处理access_token?
我正在用Vue做第三方登录,后端用的是OAuth2.0授权码模式。现在的问题是,拿到access_token之后,不知道该存在localStorage还是cookie里,听说都有安全风险。而且我试过把token放在请求头里传,但页面刷新就丢了。
下面是我目前在登录回调页里存token的代码:
<script setup>
import { useRoute } from 'vue-router'
const route = useRoute()
const token = route.query.access_token
if (token) {
localStorage.setItem('access_token', token)
// 后续axios拦截器会读取这个token加到Authorization头
}
</script>这样写会不会有XSS或者CSRF的风险?有没有更安全的做法?
- 1
回答
37浏览
Access Token 存储在 LocalStorage 安全吗?遇到跨域请求被泄露怎么办?
我在做用户登录功能时把 Access Token 放在了 LocalStorage,但测试跨域请求时突然出现错误:“Failed to load resource: Preflight respons...
- 2
回答
59浏览
CSRF防护中,如何在不刷新页面的情况下安全更新CSRF Token?
在做单页应用时遇到了CSRF Token过期问题。前端用axios拦截器在请求头带上token,但用户长时间登录后,后端会返回403要求更新token。我尝试在响应拦截器里检测403错误后,通过/re...
- 2
回答
16浏览
Session绑定CSRF Token后前端怎么正确发送?
我后端用Session存了CSRF Token,登录后返回给前端,但我每次提交表单时还是被拦截。是不是我发请求的方式不对? 我试过把token放在header里,也试过放在body里,但都失败了。后端...
- 2
回答
35浏览
Postman中如何正确设置OAuth2.0认证参数?遇到401错误怎么办?
我在用Postman测试一个需要OAuth2.0认证的API,按照文档设置了Client ID和Client Secret,但一直返回401 Unauthorized。尝试过把Token Type设成...
- 2
回答
37浏览
为什么设置CORS的’Access-Control-Allow-Origin’为’*’时存在安全风险?
我在开发一个前后端分离的项目,前端用fetch调用另一个域名的API时,后端设置了Access-Control-Allow-Origin: *,虽然能正常跨域请求了,但看到资料说这样有安全风险。试过改...
- 1
回答
35浏览
前端用JWT时,如何防止Token被XSS攻击窃取?
我在项目里用localStorage存JWT token,但同事说这样容易被XSS攻击,我试过把token加密存进去,但后端验证时解密失败了。现在改成用httpOnly的cookie,但axios发请...
- 1
回答
47浏览
CSRF防护中,为什么我的前端生成的Token无法被后端正确验证?
我按照教程给表单请求加了CSRF防护,前端用UUID生成token存到cookie和隐藏字段里,但后端验证时总提示不匹配。明明都按文档做了,但验证还是失败,哪里出问题了? 前端代码这样写的: // 生...
- 2
回答
115浏览
CSRF防护中,如何安全地刷新验证Token而不暴露在URL中?
最近在做CSRF防护时遇到个难题,我用了隐藏字段+请求头双验证的方案。但用户长时间在线后,原来的Token过期导致部分AJAX请求开始报403错误。 尝试过在每次请求前手动调用API刷新Token,但...
- 2
回答
28浏览
OAuth2.0静默刷新时怎么避免重复发送refresh_token请求?
我在做前端静默刷新访问令牌时遇到个问题,当用户快速切换页面时,多个定时器同时触发导致重复发送了refresh_token请求。比如这样写的: let refreshTimeout; function ...
- 2
回答
58浏览
JWT刷新时旧token未及时回收导致重复登录怎么解决?
我在用JWT做登录鉴权时遇到个问题,用户在A设备刷新token后,旧token居然还能在B设备正常登录,这样用户明明退出了怎么还会被绕过? 我的实现逻辑是这样的:用户登录成功后存储token到loca...
HttpOnly也一样怕XSS,设了又没法用JS读取做自动刷新……稳妥做法是:后端返回token时顺便给个短时效的refresh_token,用HttpOnly的cookie存它,access_token还是放内存里(比如Vue的reactive对象),刷新页面就让前端重走一次授权码流程拿新token——这样就算XSS了,攻击者也拿不到长期有效的refresh_token。// App.vue 或登录成功后的组件里
import { ref } from 'vue'
const accessToken = ref('')
const refreshToken = ref('')
// 登录回调页处理
const handleCallback = () => {
const token = route.query.access_token
const refresh = route.query.refresh_token
if (token) accessToken.value = token
if (refresh) refreshToken.value = refresh // 或者后端直接把refresh_token写进HttpOnly cookie
}
// 用axios拦截器加token
axios.interceptors.request.use(config => {
if (accessToken.value) {
config.headers.Authorization =
Bearer ${accessToken.value}}
return config
})