Ich muss ein Refresh-Token im Speicher in einer Angular (Javascript) -Anwendung speichern.Schützen eines Refresh-Tokens in Javascript/AngularJS
Das Token wird bei der Authentifizierung über einen Ajax-Aufruf übermittelt und muss dann gespeichert werden, bis der Benutzer sich abmeldet oder den Browser schließt.
Ich möchte jetzt wissen, wie ich dieses Token sicher im Speicher halten kann, so dass es nicht durch Konsolenzugriff oder ein bösartiges Browser-Plugin, das Zugriff auf die Webseite hat, extrahiert werden kann.
fand ich einen anderen Thread, wie Refresh-Token in Winkel verwenden, aber ich denke, die Umsetzung ist nicht sicher:
es, wenn ich die authService mit einem privaten Objekt sicherAngularJS - http interceptor - resend all request after token refresh
Würde ersetzt Speichern Sie das Refresh- und Access-Token?
Mit welcher Bedrohung möchten Sie sie schützen? Beachten Sie, dass es sich bereits auf dem Client befindet, sodass Sie es nicht vor dem Benutzer verbergen können. Welchen Angriff haben Sie im Sinn? XSS vielleicht? –
ja XSS oder böswillige Browser-Plugin oder ...? Ich bin kein echter Experte in diesen Angelegenheiten – mvermand
Ich dachte darüber nach, es ist eigentlich eine gute Frage. Ich frage mich, was andere Sicherheitsleute denken, hoffe, Sie bekommen eine Antwort. –