A煤n no tienes acceso a esta clase

Crea una cuenta y contin煤a viendo este curso

#UnderTheHood: Sesiones y JWT

7/11
Recursos

Aportes 3

Preguntas 0

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesi贸n.

馃彉锔 UnderTheHood: Sesiones y JWT

Ideas/conceptos claves

SameSite permite declarar si su cookie debe restringirse a un contexto propio o del mismo sitio.

HttpOnly ayuda a mitigar el riesgo de script del lado del cliente que accede a la cookie protegida (si el navegador lo soporta).

Recursos

Using HTTP cookies - HTTP | MDN

Apuntes

  • Una cookie que tiene HttpOnly significa que desde el cliente o navegador no podemos acceder a la cookie

Sesiones y cookie

  • El servidor: tiene acceso a nuestros recursos y puede acceder a la sesi贸n directamente
  • El cliente: debe consultar con el servidor haciendo una petici贸n HTTP (/api/auth/session/)
    • Mediante el hook useSession

La cookie

  • La cookie se marca como SameSite y HttpOnly
  • El cliente no podr谩 leer esta cookie

La sesi贸n y JWT

  • Si no existe una base de datos se utiliza JWT y se almacena en una cookie
  • Identifica un usuario. Ejemplo: sub, useruuid o uuid
  • Especifica una fecha en la que vencer谩 la sesi贸n

M谩s sobre cookies y JWT

  • La cookie se marcar谩 como Secure solo si la URL del sitio es de conexi贸n segura HTTPS
    • Normalmente, es un paso que debemos realizarlo por seguridad y Next.js lo realiza por defecto
  • El token es firmado por defecto (JWS) pero no es encriptado (JWE)

驴Importa si se encripta o no el token? 驴Qu茅 riesgos puede haber con JWT?

Sirve sin base de datos

Yo creo que no es seguro guardarlo en una cookie