Hallo,
ich benutze Spring Security mit JWT und frage mich wie sicher mein Vorgehen ist.
So gehe ich vor:
Soweit alles gut. Meine Frage ist, was, wenn das Token von Angreifer geklaut wird? HttpOnly-Flag kann ich ja nicht setzen, da das Cookie als Bearer Token eingesetzt wird. Tokens haben zwar ein kurzes Verfallsdatum, aber in dieser Zeit ist das Account des Users immer noch angreifbar. Wie schliesse ich diese Lücke?
ich benutze Spring Security mit JWT und frage mich wie sicher mein Vorgehen ist.
So gehe ich vor:
- Benutzer loggt sich im Browser ein
- Ein Request wird an Backend gesendet und es wird ein Token generiert
- Token wird an Browser gesendet
- Browser speichert das Token als Cookie
Soweit alles gut. Meine Frage ist, was, wenn das Token von Angreifer geklaut wird? HttpOnly-Flag kann ich ja nicht setzen, da das Cookie als Bearer Token eingesetzt wird. Tokens haben zwar ein kurzes Verfallsdatum, aber in dieser Zeit ist das Account des Users immer noch angreifbar. Wie schliesse ich diese Lücke?