У меня есть JWT Я зашифровал и хотел бы сохранить в HttpOnly безопасном файле cookie & отправить по SSL. Но так как у меня нет cookie, настроенного при первом посещении моего сайта, что помешать кому-то создать файл cookie с тем же именем. & Значение в качестве файла cookie, который я хочу создать, прежде чем создать свой файл cookie? В принципе, что, если они обманывают файл cookie перед входом в систему, а это когда я на самом деле создаю свой файл cookie?Предотвращение слияния файлов cookie
Похоже, что я должен был обеспечить, чтобы мой файл cookie всегда создавался первым, чтобы предотвратить это, поскольку Httponly будет тем, что останавливает это, что не вступает в силу до тех пор, пока я не создам свой файл cookie, не так ли? Есть ли что-то, что мне не хватает, чтобы предотвратить или обойти этот сценарий?
Расшифровка и чтение JWT не является моей главной задачей. Я не уверен, как я должен проверять, что сам файл cookie не тронут, так как я могу получить имя и значение cookie только из HttpRequest в API сервлета для каждой спецификации. Я не вижу, как я могу проверить содержимое файла cookie, если он выглядит так, как будто он хорошо сконструирован, но подделывается. – Slayer0248
Просто проверьте содержимое. Это ваш токен jwt. – JEY