¿Es seguro almacenar el token de acceso en el almacenamiento local?

1. ¿Está bien almacenar el token de acceso en el almacenamiento local??
2. ¿Dónde debo almacenar mi token de acceso??
3. Está almacenando JWT en el almacenamiento local seguro?
4. ¿Debo almacenar el token de acceso en la base de datos??
5. ¿Qué no debería almacenar en el almacenamiento local??
6. ¿El almacenamiento local es más seguro que las cookies??
7. Se puede robar el token de acceso?
8. ¿Cuál es el mejor lugar para almacenar JWT??
9. El almacenamiento local es vulnerable a XSS?
10. El almacenamiento local es vulnerable a CSRF?
11. ¿Dónde debo almacenar el token de acceso y actualizar el token??
12. ¿Dónde mantienes el interfaz del token de acceso??
13. ¿Es seguro almacenar el token de actualización en la base de datos??
14. ¿Cuánto tiempo deben durar los tokens de acceso??
15. ¿Deberías almacenar en caché los tokens de acceso??

¿Está bien almacenar el token de acceso en el almacenamiento local??

En el lado negativo, LocalStorage es potencialmente vulnerable a los ataques de secuencias de comandos de sitios cruzados (XSS). Si un atacante puede inyectar JavaScript malicioso en una página web, puede robar un token de acceso en LocalStoray. Además, a diferencia de las cookies, LocalStorage no proporciona atributos seguros que puede configurar para bloquear los ataques.

¿Dónde debo almacenar mi token de acceso??

La práctica habitual es almacenar tokens de acceso en el almacenamiento de sesión del navegador o almacenamiento local. Esto se debe a que necesitamos persistir los tokens de acceso a través de las recargas de la página, para evitar la necesidad de volver a autenticar en cada recarga. Esto proporciona una mejor experiencia de usuario.

Está almacenando JWT en el almacenamiento local seguro?

Un JWT debe almacenarse en un lugar seguro dentro del navegador del usuario. De cualquier manera, no debe almacenar un JWT en almacenamiento local (o almacenamiento de sesión). Si lo guarda en un Storage/SessionStorage, puede ser fácilmente agarrado por un ataque XSS.

¿Debo almacenar el token de acceso en la base de datos??

Algunos tokens de acceso duran una o dos horas, y son adecuados para almacenar en la sesión. Otros son tokens a largo plazo, por ejemplo, Facebook proporciona un token de 60 días, y estos tienen más sentido para almacenar en una base de datos. De cualquier manera, almacenar el token nos liberará de tener que pedirle al usuario que autorice nuevamente.

¿Qué no debería almacenar en el almacenamiento local??

Dados los vectores potenciales donde los actores maliciosos pueden acceder a información sobre el almacenamiento local de su navegador, es fácil ver por qué información confidencial, como información de identificación personal (PII), tokens de autenticación, ubicaciones de usuarios y claves de API, etc., nunca debe almacenarse en el almacenamiento local.

¿El almacenamiento local es más seguro que las cookies??

Aunque las cookies todavía tienen algunas vulnerabilidades, es preferible en comparación con LocalStorage siempre que sea posible. Por qué? Tanto el almacenamiento local como las cookies son vulnerables a los ataques XSS, pero es más difícil para el atacante hacer el ataque cuando usas galletas httponly.

Se puede robar el token de acceso?

Si bien estos tokens son útiles para habilitar los servicios de TI clave, también son vulnerables al robo.

¿Cuál es el mejor lugar para almacenar JWT??

JWT debe almacenarse en galletas. Puede usar banderas httponly y seguras dependiendo de sus requisitos. Para proteger el atributo de cookie de Samesite CSRF se puede configurar en estricto si generalmente se ajusta a su aplicación, evitará que los usuarios iniciados de su sitio sigan cualquier enlace a su sitio desde cualquier otro sitio.

El almacenamiento local es vulnerable a XSS?

Los ataques de XSS inyectan scripts maliciosos en aplicaciones web, y desafortunadamente, tanto LocalStorage como SessionStorage son vulnerables a los ataques XSS. Los ataques XSS se pueden usar para obtener datos de los objetos de almacenamiento y agregar scripts maliciosos a los datos almacenados.

El almacenamiento local es vulnerable a CSRF?

Tanto el almacenamiento local como las cookies son vulnerables a los ataques XSS, pero es más difícil para el atacante hacer el ataque cuando usas galletas httponly. Las cookies son vulnerables a los ataques de CSRF, pero se puede mitigarse utilizando la bandera de Samese y los tokens anti-CSRF.

¿Dónde debo almacenar el token de acceso y actualizar el token??

Si su aplicación utiliza la rotación del token de actualización, ahora puede almacenarla en el almacenamiento local o la memoria del navegador. Puede usar un servicio como Auth0 que admite la rotación del token.

¿Dónde mantienes el interfaz del token de acceso??

¿Dónde debo almacenar mis tokens en el front-end?? Hay dos formas comunes de almacenar sus tokens. El primero está en LocalStorage y el segundo está en Cookies. Hay mucho debate sobre el cual uno es mejor con la mayoría de las personas que se inclinan hacia las galletas, ya que son más seguros.

¿Es seguro almacenar el token de actualización en la base de datos??

No almacene ni use tokens de acceso OAuth o actualice tokens en clientes web o móviles. Los tokens de acceso de OAuth y los tokens de actualización deben estar encriptados y almacenados en una base de datos segura. Su aplicación debe usar un estándar de cifrado fuerte como AES.

¿Cuánto tiempo deben durar los tokens de acceso??

Por defecto, los tokens de acceso son válidos por 60 días y los tokens de actualización programática son válidos por un año. El miembro debe reautorizar su solicitud cuando expiran los tokens de actualización.

¿Deberías almacenar en caché los tokens de acceso??

Tokens de caché

Debido a que obtener nuevos tokens es costoso, recomendamos usar un caché de tokens para evitar solicitudes innecesarias. Después de recuperar un token, guárdelo en un caché en memoria, como Memcached o un ASP incorporado.Servicio de caché net.