我需要在Angular(Javascript)应用程序的内存中存储刷新令牌。在Javascript/AngularJS中保护刷新令牌
令牌将在验证后通过Ajax调用传递,然后需要存储在内存中,直到用户注销或关闭浏览器为止。
我现在想知道如何将此令牌安全地保存在内存中,因此无法通过控制台访问或可访问该网页的恶意浏览器插件来提取此令牌。
我发现了如何使用角刷新令牌一些其他的线程,但我想实现并不安全:
AngularJS - http interceptor - resend all request after token refresh
难道是安全的,如果我取代了authService设有私人对象存储刷新和访问令牌?
你试图保护它的威胁是什么?请注意,它已经在客户端上,所以您不能将其从用户中隐藏起来。你有什么攻击想法? XSS也许? –
是XSS或恶意浏览器插件或...?我不是这些事情的真正专家 – mvermand
我想了一下,这实际上是一个很好的问题。我想知道其他安全人员会怎么想,希望你能得到答案。 –