Где хранятся данные авторизации в браузере
За последние пару лет браузеры научились не только сохранять, но еще и сочинять за нас пароли и шифровать их. И все работает хорошо, пока браузер подставляет пароль в нужные поля, не заставляя нас его вспоминать, а вот когда нужно вставить его в другой браузер или заметку, то начинаются проблемы. Приходится искать, где браузер прячет эти самые пароли.
Как посмотреть пароли на компьютере
- Открываем браузер.
- Нажимаем на иконку в виде трех полос в правом верхнем углу.
- В появившемся списке выбираем пункт «Пароли и карты».
- Откроется окно со списком сайтов, пароли которых сохранены в браузере. Кликаем по тому, пароль от которого нужно найти.
- В появившемся окошке ищем графу пароль и нажимаем на иконку в виде глаза справа от засекреченного пароля.
Как посмотреть пароли на смартфоне
- Открываем браузер.
- Нажимаем на пиктограмму в виде трех точек в поисковой строке.
- Затем выбираем меню «Пароли».
- В открывшемся окне ищем сайт, пароль от которого нам нужен и нажимаем на него.
- После этого нажимаем на кнопку «Показать пароль», чтобы он отобразился.
Где лежит файл с паролями
Если вам по какой-то причине приспичило найти файлы, связанные с паролями, то это можно сделать так:
- Кликаем по иконке Яндекс.Браузера на рабочем столе правой кнопкой мыши.
- Сразу включаем отображение скрытых файлов. Нажимаем на вкладку «Вид» в верхней части окна.
- Ищем пустое поле «Скрытые элементы» и ставим галочку напротив него.
- Далее переходим на уровень выше в папку YandexBrowser.
Здесь лежат все пользовательские файлы, включая те, что содержат в себе пароли. Правда, толку от этого поиска нет. Пароли зашифрованы, и открыть их не получится. Все, что вы можете сделать — скопировать данные на другой носитесь, чтобы в случае чего восстановить их.
Альтернативные менеджеры паролей
Менеджер паролей, встроенный в Яндекс.Браузер — настоящая угроза вашей безопасности. Чтобы их посмотреть, ни на компьютере, ни на телефоне даже не нужен пароль. И хотя файл с паролями зашифрован, такая доступность конфиденциальных данных настораживает.
К тому же не всегда удобно быть привязанным к браузеру, поэтому я рекомендую обзавестись хорошим, надежным менеджером паролей. Дальше речь пойдет о лучших из них.
LastPass
Популярный и единственный бесплатный менеджер паролей. Собственно, именно бесплатность и сделала его популярным. Отнюдь не другие качества.
LastPass работает прямо в браузере, ничего дополнительно скачивать не нужно. Он умеет сам за вас генерировать пароли и сохранять их.
При этом он довольно неказистый и не очень удобный, потому что в бесплатной версии урезана функциональность.
Из данной статьи Вы сможете узнать: где можно посмотреть сохраненные пароли доступа для браузеров, а также способы восстановления забытой информации для входа в аккаунты.
Содержание:
Практически все популярные браузеры оборудованы системой автоматического сохранения логинов и паролей для быстрого входа в аккаунты на различных сайтах. Это позволяет не тратить время на постоянное введение данных для входа, делая процесс использования браузера более удобным.
Помимо положительных сторон, данная функция имеет и две негативные. При очистке истории, кэша и coockie файлов, пользователь может банально забыть свой пароль, что приведет к необходимости восстановления через службу поддержки. Другим негативным элементом является то, что при проникновении в компьютер третьих лиц, они смогут использовать данные для входа в своих корыстных целях, поэтому многие опытные пользователи предпочитают отказываться от функции автоматического входа через браузер.
Ниже мы расскажем где можно посмотреть, удалить или настроить информацию для входа в самых популярных интернет обозревателях.
Данные для входа в аккаунты Google Chrome
Если браузер Google Chrome имеет стандартные настройки, он будет автоматических сохранять данные для автоматического входа в аккаунты.
Посмотреть логины и пароли, а также настроить автоматический вход можно следующим образом:
-
В открытом Google Chrome в правом верхнем углу находим три вертикальных точки, по которым следует нажать левой кнопкой мыши.
В открывшемся выпадающем окне выбираем пункт «Настройки».
Данная информация находится в графе «Сайты с сохраненными паролями». В первом столбце написан адрес ресурса, во втором пункте расположены логины, а место третьего занимают пароли. Изначально пароли скрыты точками, а для их отображения следует нажать левой кнопкой мыши по иконке с глазом.
Помимо этого, здесь располагается уже знакомая кнопка с тремя вертикальными точками. Если нажать по ней, можно посмотреть дополнительные сведения или удалить выбранный пароль.
Также в данном меню можно включить или отключить функцию автоматического входа в аккаунты, добавить или убрать сайты исключения, для которых пароли не будут сохраняться даже при включенной функции автоматического входа, что может быть полезно для онлайн кошельков, банков и т.д. (данная функция находится в самом низу страницы). В верхней части можно воспользоваться поиском, чтобы быстро найти пароли. Для этого достаточно ввести имя сайта в строке поиска.
После отключения функции автоматического ввода паролей, следует провести очистку браузера и его истории, а также удалить пароли сохраненные в браузере Google Chrome:
-
Нажимаем по иконке с тремя точками в правом верхнем углу, в открывшемся окне выбираем пункт «История» и в открывшейся вкладке переходим в «История». Данное действие также можно выполнить сочетанием клавиш Ctrl+h.
После этого пароли на текущем устройстве будут удалены, а пользователю придется использовать ручной ввод логина и пароля для всех аккаунтов.
Данные для входа в аккаунты Opera
Пользователям браузера Opera также доступна функция автоматического сохранения паролей для быстрого входа.
Для настройки работы автосохранения и просмотра сохраненных паролей в Opera следует выполнить следующее:
-
В запущенном браузере нажимаем по иконке браузера в левом верхнем углу. В выпадающем окне настроек выбираем пункт «Настройки». Также данная функция доступна при нажатии сочетания клавиш Ctrl+P.
Для удаления паролей из браузера Opera и данных для входа необходимо:
-
Нажимаем сочитание клавиш Ctrl+h и в открывшемся окне переходим в пункт «Очистить историю…».
Данные для входа в аккаунты Mozilla Firefox
В популярном браузере Mozilla Firefox сохраненная информация для входа в аккаунты находится по следующему пути:
-
В открытом браузере нажимаем по иконке шестеренки, которая ведет в настройки обозревателя.
Иконку можно обнаружить в правом верхнем углу. Также в настройки можно зайти, воспользовавшись символом трех полосок, который ведет в выпадающее меню, где следует выбрать пункт «Настройки».
Чтобы просмотреть сохраненную информацию для входа следует нажать кнопку «Сохраненные логины…».
Помимо этого, здесь можно удалить все пароли и найти необходимые данные при помощи строки поиска.
Данные для входа в аккаунты в браузере Yandex
Аналогично с предыдущими обозревателями в браузере Yandex присутствует функция автоматического сохранения данных для входа.
Чтобы настроить и просмотреть данные для входа в браузере Yandex необходимо:
-
В открытом браузере в правом верхнем углу нажать левой кнопкой мышки по символу трех горизонтальных полосок.
В выпадающем меню выбрать пункт «Настройки».
Чтобы просмотреть детальные данные про логины и пароли, следует нажать по необходимому пункту левой кнопкой мыши, после чего откроется окно с адресом сайта, логином и паролем к нему. Для просмотра пароля следует нажать по символу глаза.
Для удаления паролей достаточно отметить необходимые галочкой и нажать по пункту «Удалить».
Для выключения функции сохранения данных для входа, необходимо, находясь в графе «Пароли и карты», выбрать пункт «Настройки».
В открывшемся окне следует убрать галочки возле пунктов под графой «Пароли» или просто нажать по кнопке «Выключить менеджер паролей».
Данные для входа в аккаунты в Microsoft Edge
В отличии от предыдущих браузеров Microsoft Edge является встроенным интернет обозревателем Windows 10, поэтому процедура поиска паролей имеет немного отличий.
Для настройки и просмотра сохраненной информации для входа в аккаунты браузера Microsoft Edge следует:
-
В запущенном браузере нажать по трём горизонтальным точкам в правом верхнем углу и в открывшемся окне выбрать пункт «Параметры».
В открывшемся окне можно просмотреть логины и сайты, изменить их или удалить, но функция просмотра паролей останется не доступной. Это обусловлено встроенной системой безопасности Windows 10.
Для просмотра паролей, сохраненных в Microsoft Edge следует:
-
Нажимаем левой кнопкой мыши по иконке «Поиск» (изображение лупы возле кнопки «Пуск») и вводим в строку фразу «Панель управления».
После чего переходим в непосредственно сам пункт «Панель управления».
Для просмотра и редактирования данных следует нажать по кнопкам справа.
Восстановление паролей послу удаления браузера
Если, по каким-то причинам, вы удалили браузер и у Вас возникли какие-либо проблемы с просмотром данных для входа и паролей или эта информация была случайно удалена, уничтожена вирусами или утеряна по другим причинам, рекомендуем воспользоваться специальной программой для восстановления истории и паролей браузеров RS Browser Forensics.
Скачайте программу и сможете быстро восстановить историю, закладки и вернуть пароли для всех популярных браузеров.
Из ключевых преимуществ RS Browser Forensics следует выделить:
- Высокую скорость и эффективность работы.
- Интуитивно понятный интерфейс.
- Возможность восстановления истории и данных для входа во всех популярных интернет обозревателях (Chrome, Mozilla FireFox, Opera, Yandex.Browser, UC Browser и т.д.).
- Возможность восстановления удаленных данных, хранящих историю, пароли и другую важную информацию.
Заключение
Поскольку браузеры постоянно обновляются и изменяют свой интерфейс, то некоторые пункты настроек могут незначительно изменять свое месторасположения, поэтому многие пользователи могут заметить некоторые отличия в настройках и просмотре данных для входа. Тем не менее, данная статья сможет дать четкий ориентир для выполнения необходимых действий.
Часто задаваемые вопросы
Сначала нажмите на три вертикальных точки в правом верхнем углу и выберите «Настройки». Затем перейдите к пункту «Автозаполнение» и найдите секцию «Пароли». В открывшемся меню вы можете отключить автозаполнение данных входа и сохранение паролей. Здесь же вы можете удалить сохраненные ранее пароли.
Щелкните на трех точках в правом верхнем углу и выберите пункт «История». В открывшемся окне нажмите кнопку «Очистить историю». Затем откройте вкладку «Дополнительные» и отметьте галочкой «Пароли и другие данные для входа». Для начала очистки истории нажмите «Удалить данные»
Я очистил данные автозаполнения, однако оказалось, что браузер хранил пароль от важного аккаунта и теперь я не могу его вспомнить. Как мне восстановить утерянный логин и пароль?
A3: Воспользуйтесь программой RS Browser Forensics. Она позволяет восстанавливать утерянные пароль не только для Google Chrome, но и для Mozilla Firefox, Yandex Browser, Opera, Mirosoft Edge и многих других менне популярных браузеров.
Если компьютер используется только вами и вы не планируете его продавать, тогда можете не отключать автосохранение. В противном случае рекомендуется отключить автосохранение паролей, так как их можно легко восстановить.
Нажмите комбинацию клавиш «Ctrl + P» и выберите пункт «Дополнительно». В открывшемся окне слева откройте вкладку «Безопасность» и прокрутите страницу вниз, пока не увидите надпись «Пароли и формы». Нажав на нее вы увидите все сохраненные данные автозаполнения.
О Den Broosen
Автор и инженер компании RecoverySoftware. В статьях делится опытом восстановлению данных на ПК и безопасному хранению информации на жестких дисках и на RAID массивах .
Читайте, как посмотреть пароли от аккаунтов пользователя в используемом им браузере, на ПК или мобильном устройстве. Отдельно рассмотрен каждый браузер из пятёрки самых популярных.Ищете как посмотреть сохраненные пароли в браузерах Яндекс, Google Chrome, Mozilla FireFox, Opera и Microsoft Edge? В любом современном браузере предусмотрена функция сохранения паролей. Она позволяет не вводить каждый раз учетные данные — ведь мало кто способен запомнить сотни паролей от всех сайтов и сервисов.
Но что делать, если по какой-то причине у вас не сработало авто заполнение, а пароль или логин вы не помните? Или наоборот – если нужно удалить из браузера все авто заполняющиеся данные: логины, пароли, адреса и данные банковских карт, во избежание доступа к ним посторонних.
Давайте разберемся, как посмотреть или удалить сохранённые пароли из браузеров Google Chrome, Opera, Яндекс, Mozilla Firefox, Microsoft Edge, или других. А также, как настроить авто заполнение полей логинов и адресов, а также данных банковских карт.
Сохраненные пароли Google Chrome
Начнём с Google Chrome. Чтобы увидеть все сохранённые браузером пароли:
Перейдите в Меню / Настройки / Дополнительные / Пароли и формы / Настроить.
В данном меню расположены все сохранённые браузером пароли. В формате Сайт – Имя пользователя – Пароль.
Пароль по умолчанию заретуширован. Чтобы посмотреть его нажмите на кнопку в виде глаза и пароль будет показан.
Но видно их будет только в том случае, если данная функция активна. Во всех браузерах, по умолчанию, она как правило включена. Если вы не хотите сохранения ваших паролей и логинов – выключите данную функцию, и вводите ваши логины и пароли каждый раз вручную.
Чтобы удалить сохранённый пароль, кликните на меню в виде трёх вертикальных точек напротив него и выберите Удалить.
Если нужно удалить все данные о сохранённых паролях, то сделать это можно из меню очистки истории браузера. Для этого перейдите в меню Google Chrome и выберите пункт История / История / Очистить историю. Отметьте пункт «Пароли» и нажмите кнопку «Очистить историю».
Более детально о том, как посмотреть и очистить историю браузеров описано в другой статье нашего блога.
Причём синхронизируются они как с ПК так и с вашего Android устройства.
Сохраненные пароли Яндекс.Браузер
Чтобы посмотреть сохранённые пароли в Яндекс.Браузере:
Перейдите в Меню / Настройки / Настройки / Показать дополнительные настройки / Пароли и формы / Управление паролями.
В данном меню расположены все сохранённые браузером пароли. В формате Сайт – Имя пользователя – Пароль.
Пароль по умолчанию заретуширован. Чтобы посмотреть, кликните на нём и нажмите Показать.
Иногда, система требует ввести пароль от учётной записи компьютера. В таком случае введите его.
Но видно пароли будет только в том случае, если данная функция включена.
Чтобы очистить все сохранённые пароли Яндекс.Браузера, перейдите в меню очистки истории, выделите «Сохранённые пароли» и нажмите «Очистить историю».
Как сделать это, детально описано в другой статье нашего блога о том, как посмотреть и очистить историю браузеров.
Сохраненные пароли Opera
Перейдите в Меню / Настройки / Безопасность / Пароли. И нажмите кнопку «Показать все пароли».
В данном меню расположены все сохранённые браузером пароли. В формате Сайт – Имя пользователя – Пароль.
Пароль по умолчанию заретуширован. Чтобы посмотреть, кликните на нём и нажмите Показать. Если система потребует ввести пароль от учётной записи компьютера, введите его.
Сохранены они будут только в том случае, если данная функция активна. По умолчанию, она как правило включена. Если нужно, отключите данную функцию и вводите логины и пароли каждый раз вручную.
Чтобы удалить сохранённый пароль одного из сайтов, достаточно кликнуть кнопку в виде крестика напротив него.
Очистить данные о всех сохранённых паролях можно с помощью функции очистки истории браузера. Выберите пункт «Пароли» и нажмите кнопку «Очистить историю посещений».
Как сделать это, детально описано в другой статье нашего блога о том, как посмотреть и очистить историю браузеров.
Сохраненные пароли Mozilla Firefox
Чтобы посмотреть сохранённые браузером пароли в Mozilla Firefox:
Перейдите в Меню / Настройки / Приватность и защита / Формы и пароли / Сохранённые логины.
В данном меню расположены все сохранённые браузером логины и пароли. В формате Сайт – Имя пользователя – Дата последнего изменения.
Пароли по умолчанию не видны. Чтобы отобразить их, нажмите кнопку «Отобразить пароли».
Если вы не хотите сохранения ваших паролей и логинов – выключите данную функцию, и вводите ваши логины и пароли каждый раз вручную. Для этого достаточно убрать галочку напротив функции «Запоминать логины и пароли для веб-сайтов».
В отличии от других браузеров, Mozilla Firefox не требует для просмотра паролей вводить пароль входа в Windows. Для этого здесь предусмотрен Мастер-пароль. Установите его – и без его ввода, никто не сможет увидеть ваши логины и пароли.
Чтобы удалить один из сохранённых паролей, выберите его и нажмите кнопку «Удалить». Если нужно удалить все сохранённые в браузере пароли – нажмите кнопку «Удалить все».
Сохраненные пароли Microsoft Edge
В Microsoft Edge:
Перейдите в Параметры / Параметры / Посмотреть дополнительные параметры / Управление паролями.
В данном меню расположены все сохранённые браузером пароли.
Но, кликнув дважды по сохранённому паролю, вы можете лишь удалить или изменить, но не просмотреть его.
Так как Edge – это встроенный в систему браузер, с интегрированной системой безопасности и многими другими параметрами Windows, то и учётные данные его хранятся отдельно в системе.
Чтобы увидеть их:
Перейдите в Панель управления / Диспетчер учётных данных / Учётные данные для Интернета. Логины и пароли, сохраняемые с Edge, хранятся здесь.
Чтобы посмотреть любой пароль, кликните по стрелочке напротив нужного сайта и выберите «Показать», напротив пункта Пароль. Для этого потребуется также ввести пароль вашего пользователя, тот под которым вы входите в систему.
Чтобы удалить один из паролей, нажмите ссылку «Удалить» под ним, в Диспетчере учётных данных.
Чтобы удалить все сохранённые логины и пароли, перейдите в Параметры Edge и нажмите кнопку «Выберите, что нужно очистить». Выберите «Пароли» и нажмите кнопку очистить.
Автозаполнение
Также, кратко остановимся на функции автозаполнения браузеров, которая обычно присутствует наряду с функцией запоминания паролей для сайтов. Это функция, которая аналогична функции запоминания паролей и логинов. Только таким же способом браузер может запоминать имена, адреса, номера телефонов, или даже данные банковских платёжных карт.
Как это работает? Вот, например, мы переходим на сайт и хотим осуществить покупку (или заполнить какую-нибудь форму или анкету). Кликнув по полю для ввода данных, браузер предлагает автоматически подставить уже сохранённые в нём данные. Достаточно просто выбрать нужный вариант.
Такая же ситуация и с данными банковской карты для оплаты.
Обычно, при первом вводе информации в определённое поле, браузеры предлагают сохранить такую информацию.
Посмотреть или добавить такие данные автозаполнения можно в меню браузера Автозаполнение или Настройки автозаполнения. Которое расположено вместе с меню настройки сохранения логинов и паролей.
В данном меню можно посмотреть сохранённые для автозаполнения данные (адреса, имена, данные банковских какрт), изменить, добавить или удалить их.
Данные автозаполнения браузера можно полностью очистить вместе с очисткой истории браузера.
Аналогичным образом настройки выглядят и в других браузерах. Думаю, детально останавливаться на каждом из них не стоит.
Версии браузеров для мобильных устройств
Если говорить о браузерах на смартфонах или планшетах, то все они имеют аналогичные функции и настройки, как и их версии на ПК. Пункты меню мобильных версий браузеров могут называться иначе, но суть будет абсолютно та же.
Полную версию статьи со всеми дополнительными видео уроками читайте в нашем блоге.
Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Где браузер хранит информацию для входа пользователя
Просто нажмите на соединение
sessionid является ключом сеанса. При первом обращении браузера к серверу браузер генерирует сеанс на стороне сервера, и ему соответствует sessionid. Сессионный идентификатор, сгенерированный tomcat, называется jsessionid.
Сохраненный в памяти сервера, класс tomcat StandardManager будет сеансХранится в памятиТакже может быть сохранен в файл, базу данных, memcache, redis и т. Д.Клиент только сохраняет sessionid в cookieВместо сохранения сеанса уничтожение сеанса может быть выполнено только посредством аннулирования или тайм-аута, закрытие браузера не закроет сеанс.
Где хранится сессия: В памяти на стороне сервера. Однако сеанс может управляться особым образом (memcache, redis).
Откуда взялся идентификатор сессииКак используется sessionID: когда клиент впервые запрашивает объект сеанса, сервер создает сеанс для клиента и вычисляет идентификатор сеанса с помощью специального алгоритма для идентификации объекта сеанса.
Будет ли сеанс удален, потому что браузер закрыт?
Нет, сессия будет закрыта только указанным выше способом.
Ниже приводится создание сеанса в Tomcat:
ManagerBase является базовым классом всех классов инструментов управления сеансами. Это абстрактный класс. Все классы, которые реализуют функции управления сеансами, должны наследовать этот класс. Этот класс имеет защищенный метод. Этот метод предназначен для создания значения sessionId:
(Механизм генерации значения идентификатора сеанса tomcat - это случайное число плюс время плюс значение идентификатора jvm, значение идентификатора jvm будет рассчитываться в соответствии с информацией об оборудовании сервера, поэтому различные значения идентификатора jvm уникальны),
Класс StandardManager является классом реализации управления сеансом по умолчанию в контейнере Tomcat,
Он будет хранить информацию о сеансе в памяти сервера, на котором расположен веб-контейнер.。
PersistentManagerBase также наследует класс ManagerBase, который является базовым классом для всех постоянных хранилищ информации о сеансе. PersistentManager наследует PersistentManagerBase, но у этого класса есть только еще одна статическая переменная и метод getName, который в настоящее время, кажется, не имеет большого значения.Для сеансов постоянного хранения tomcat также предоставляет абстрактный класс StoreBase, который является базовым классом для всех сеансов постоянного хранения.Кроме того, tomcat также предоставляет две реализации хранилища файлов FileStore и хранилища данных JDBCStore.
JWT (JSON Web Token) — это замечательный стандарт, основанный на формате JSON, позволяющий создавать токены доступа, обычно используемые для аутентификации в клиент-серверных приложениях. При использовании этих токенов возникает вопрос о том, как безопасно хранить их во фронтенд-части приложения. Этот вопрос нужно решить сразу же после того, как токен сгенерирован на сервере и передан клиентской части приложения.
Материал, перевод которого мы сегодня публикуем, посвящён разбору плюсов и минусов использования локального хранилища браузера ( localStorage ) и куки-файлов для хранения JWT.
Виды токенов
Где именно следует хранить токены на клиенте?
Существует 2 распространённых способа хранения токенов на клиенте: локальное хранилище браузера и куки-файлы. О том, какой способ лучше, много спорят. Большинство людей склоняется в сторону куки-файлов из-за их лучшей защищённости.
Давайте сравним локальное хранилище и куки-файлы. Наше сравнение основано, преимущественно, на этом материале и на комментариях к нему.
Локальное хранилище
▍Преимущества
Основное преимущество локального хранилища заключается в том, что им удобно пользоваться.
- Работа с локальным хранилищем организована очень удобно, тут используется чистый JavaScript. Если у вашего приложения нет бэкенда, и вы полагаетесь на чужие API, не всегда можно запросить у этих API установку особых куки-файлов для вашего сайта.
- Используя локальное хранилище, удобно работать с API, которые требуют размещать токен доступа в заголовок запроса. Например — так: Authorization Bearer $ .
▍Недостатки
Главный недостаток локального хранилища — это его уязвимость к XSS-атакам.
- При выполнении XSS-атаки злоумышленник может запустить свой JavaScript-код на вашем сайте. Это означает, что атакующий может получить доступ к токену доступа, сохранённому в localStorage .
- Источником XSS-атаки может быть сторонний JavaScript-код, включённый в состав вашего сайта. Это может быть что-то вроде React, Vue, jQuery, скрипта Google Analytics и так далее. В современных условиях почти невозможно разработать сайт, в состав которого не входят библиотеки сторонних разработчиков.
Куки-файлы
▍Преимущества
Главное преимущество куки-файлов заключается в том, что они недоступны из JavaScript. В результате они не так уязвимы к XSS-атакам, как локальное хранилище.
▍Недостатки
В зависимости от конкретных обстоятельств может случиться так, что токены в куки-файлах сохранить не удастся.
- Размер куки-файлов ограничен 4 Кб. Поэтому, если вы используете большие JWT, хранение их в куки-файлах вам не подойдёт.
- Существуют сценарии, при реализации которых вы не можете передавать куки своему API-серверу. Возможно и то, что какой-то API требует размещения токена в заголовке Authorization . В таком случае вы не сможете хранить токены в куки-файлах.
XSS-атаки
Куки-файлы и CSRF-атаки
CSRF-атаки — это атаки, в ходе которых пользователя каким-то образом принуждают к выполнению особого запроса. Например, сайт принимает запросы на изменение адреса электронной почты:
Правда, от этой угрозы можно легко защититься, использовав атрибут SameSite в заголовке ответа и анти-CSRF токены.
Промежуточные итоги
Хотя и куки-файлы не отличаются полной неуязвимостью к атакам, для хранения токенов лучше всего, всегда, когда это возможно, выбирать именно их, а не localStorage . Почему?
Использование куки-файлов для хранения токенов OAuth 2.0
Давайте кратко перечислим способы хранения токенов:
Злоумышленник может создать форму, которая обращается к /refresh_token . В ответ на этот запрос возвращается новый токен доступа. Но атакующий не может прочитать ответ в том случае, если он использует HTML-форму. Для того чтобы не дать атакующему успешно выполнять fetch- или AJAX-запросы и читать ответы, нужно, чтобы CORS-политика сервера авторизации была бы настроена правильно, а именно — так, чтобы сервер не реагировал бы на запросы от неавторизованных веб-сайтов.
Как всё это настроить?
Шаг 1: возврат токена доступа и токена обновления при аутентификации пользователя
После того, как пользователь аутентифицируется, сервер аутентификации возвращает access_token (токен доступа) и refresh_token (токен обновления). Токен доступа будет включён в тело ответа, а токен обновления — в куки.
Вот что нужно использовать для настройки куки-файлов, предназначенных для хранения токенов обновления:
Шаг 2: сохранение токена доступа в памяти
Хранение токена доступа в памяти означает, что токен, в коде фронтенда, записывают в переменную. Это, конечно, означает, что токен будет утерян в том случае, если пользователь закроет вкладку, на которой открыт сайт, или обновит страницу. Именно поэтому у нас имеется токен обновления.
Шаг 3: получение нового токена доступа с использованием токена обновления
Если токен доступа оказывается утраченным или недействительным, нужно обратиться к конечной точке /refresh_token . При этом токен обновления, который, на шаге 1, был сохранён в куки-файле, будет включён в запрос. После этого вы получите новый токен доступа, который сможете использовать для выполнения запросов к API.
Всё это значит, что JWT могут быть больше 4 Кб, и то, что их можно помещать в заголовок Authorization .
Итоги
То, о чём мы тут рассказали, должно дать вам базовую информацию о хранении JWT на клиенте, и о том, как сделать ваш проект безопаснее.
Читайте также: