首页
/ Chainkit项目中的JWT安全存储方案演进

Chainkit项目中的JWT安全存储方案演进

2025-05-25 19:48:46作者:伍霜盼Ellen

背景与现状

Chainkit作为一个开源项目,在用户认证方面最初采用了将JWT(JSON Web Token)存储在localStorage中的方案。这种设计虽然实现简单,但存在明显的安全隐患,特别是容易受到XSS(跨站脚本)攻击的威胁。攻击者可能通过注入恶意脚本窃取存储在localStorage中的认证令牌,进而获取用户会话和历史记录。

现有方案的问题分析

当前实现中,认证令牌通过以下方式传递:

  1. 用户登录验证通过后,服务器生成JWT
  2. 前端将JWT存储在localStorage中
  3. 每次API请求时,前端从localStorage读取令牌并附加到请求头

这种设计存在两个主要缺陷:

  1. XSS风险:JavaScript可以直接访问localStorage中的令牌
  2. 文件访问认证问题:对于通过HTML标签直接引用的文件资源(如图片),难以附加认证信息

安全改进方案

经过深入研究和讨论,团队决定采用HTTP-only Cookie作为新的令牌存储方案。这种方案具有以下优势:

  1. 防止XSS攻击:HTTP-only Cookie无法通过JavaScript访问,有效防止令牌被窃取
  2. 自动包含在请求中:浏览器会自动将Cookie附加到同源请求中,简化了文件资源的认证
  3. 更符合安全最佳实践:减少了客户端脚本暴露敏感信息的风险

技术实现细节

服务器端改造

服务器端需要做以下调整:

  1. 登录成功时设置HTTP-only Cookie
  2. 验证请求时从Cookie读取令牌
  3. 登出时清除Cookie

关键实现点包括:

  • 使用Secure标志确保只在HTTPS连接下传输Cookie
  • 设置SameSite属性防止CSRF攻击
  • 合理设置Cookie过期时间与令牌有效期同步

客户端适配

前端代码需要相应调整:

  1. 移除localStorage的令牌存储逻辑
  2. 依赖浏览器自动管理Cookie
  3. 确保跨域请求正确处理凭据

兼容性考虑

为确保平滑过渡,方案设计考虑了以下兼容性需求:

  1. 保留原有的令牌获取接口,供特殊场景使用
  2. 确保辅助编程功能不受影响
  3. 提供清晰的迁移指南和版本说明

安全增强措施

除改用HTTP-only Cookie外,还实施了以下安全增强:

  1. CSRF防护机制
  2. 令牌刷新策略
  3. 严格的CORS配置
  4. 内容安全策略(CSP)增强

总结

Chainkit 2.0.0版本通过将JWT从localStorage迁移到HTTP-only Cookie,显著提升了应用的安全性。这一改进不仅解决了已知的XSS风险,还为文件资源访问提供了更优雅的认证方案,同时保持了良好的向后兼容性。这体现了Chainkit团队对安全问题的重视和对最佳实践的遵循,为用户提供了更可靠的使用体验。

登录后查看全文
热门项目推荐
相关项目推荐

项目优选

收起
kernelkernel
deepin linux kernel
C
22
6
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
154
1.98 K
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
507
43
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
194
279
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
992
395
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
940
554
communitycommunity
本项目是CANN开源社区的核心管理仓库,包含社区的治理章程、治理组织、通用操作指引及流程规范等基础信息
336
11
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
146
191
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Python
75
70