前端成长记录

繁體中文(港)

中文
English
日本語
繁體中文(台)

繁體中文(港)

中文
English
日本語
繁體中文(台)

深色模式

⚠️ This article was written in 2020. Some content may be outdated.

JWT 前端認證方案與安全實踐

·2 min read·365 字·安全

JWT 前端認證方案與安全實踐在前端開發中的應用越來越廣泛。本文從實際項目出發,深入分析其核心原理和最佳實踐。

基礎用法

我們可以通過以下方式來改進:

javascript
function setCSP(req, res, next) {
  const nonce = crypto.randomBytes(16).toString('base64')
  res.setHeader('Content-Security-Policy', [
    "default-src 'self'",
    `script-src 'self' 'nonce-${nonce}'`,
    "style-src 'self' 'unsafe-inline'",
    "img-src 'self' data: https:",
    "connect-src 'self' https://api.example.com",
    "frame-ancestors 'none'"
  ].join('; '))
  next()
}

這套方案已經在線上穩定運行了半年以上,經過了實際驗證。

進階用法

先來看基本的實現方式:

javascript
function setCSP(req, res, next) {
  const nonce = crypto.randomBytes(16).toString('base64')
  res.setHeader('Content-Security-Policy', [
    "default-src 'self'",
    `script-src 'self' 'nonce-${nonce}'`,
    "style-src 'self' 'unsafe-inline'",
    "img-src 'self' data: https:",
    "connect-src 'self' https://api.example.com",
    "frame-ancestors 'none'"
  ].join('; '))
  next()
}

這段代碼展示了基本的使用方式。實際項目中還需要考慮錯誤處理和邊界條件。

實戰案例

在這個基礎上,我們可以進一步優化:

javascript
function setCSP(req, res, next) {
  const nonce = crypto.randomBytes(16).toString('base64')
  res.setHeader('Content-Security-Policy', [
    "default-src 'self'",
    `script-src 'self' 'nonce-${nonce}'`,
    "style-src 'self' 'unsafe-inline'",
    "img-src 'self' data: https:",
    "connect-src 'self' https://api.example.com",
    "frame-ancestors 'none'"
  ].join('; '))
  next()
}

這種模式在大型項目中非常實用,能顯著降低維護成本。

性能優化

實際項目中的用法會更復雜一些:

javascript
function setCSP(req, res, next) {
  const nonce = crypto.randomBytes(16).toString('base64')
  res.setHeader('Content-Security-Policy', [
    "default-src 'self'",
    `script-src 'self' 'nonce-${nonce}'`,
    "style-src 'self' 'unsafe-inline'",
    "img-src 'self' data: https:",
    "connect-src 'self' https://api.example.com",
    "frame-ancestors 'none'"
  ].join('; '))
  next()
}

通過這種方式,代碼的可測試性和可擴展性都得到了提升。

常見陷阱

以下是一個完整的示例:

javascript
function setCSP(req, res, next) {
  const nonce = crypto.randomBytes(16).toString('base64')
  res.setHeader('Content-Security-Policy', [
    "default-src 'self'",
    `script-src 'self' 'nonce-${nonce}'`,
    "style-src 'self' 'unsafe-inline'",
    "img-src 'self' data: https:",
    "connect-src 'self' https://api.example.com",
    "frame-ancestors 'none'"
  ].join('; '))
  next()
}

注意邊界條件處理,這在生產環境中至關重要。

小結

  • 團隊協作中約定和文檔比技術本身更重要
  • 關注社區動態,技術方案需要持續迭代
  • 不要為了用新技術而用新技術
  • 代碼示例僅供參考,需根據業務場景調整
  • JWT 前端認證方案與安全實踐不是銀彈,需要根據項目規模和技術棧選擇

MIT Licensed

前端成长记录 2018 - 2026