Jak wygasają tokeny JWT?

2025 Autor: Lynn Donovan | [email protected]. Ostatnio zmodyfikowany: 2025-01-22 17:36

A Token JWT to nigdy wygasa jest niebezpieczne, jeśli znak zostaje skradziony, a potem ktoś Móc zawsze mieć dostęp do danych użytkownika. Cytat z JWT RFC: Tak więc odpowiedź jest oczywista, ustaw wygaśnięcie data w exp i odrzucić znak po stronie serwera, jeśli data w exp jest przed datą bieżącą.

Odpowiednio, jak długo powinien trwać token JWT?

15 minut

Poza powyższym, jak przechowywać tokeny JWT? A JWT musi być przechowywany w bezpiecznym miejscu w przeglądarce użytkownika. Jeśli ty sklep jest w localStorage, jest dostępny przez dowolny skrypt na twojej stronie (co jest tak złe, jak się wydaje, ponieważ atak XSS może pozwolić zewnętrznemu napastnikowi uzyskać dostęp do znak ). Nie sklep to w lokalnym składowanie (lub sesja składowanie ).

Poza powyższym, jak wymusić wygaśnięcie tokena JWT?

Wymuś wygaśnięcie tokenów JWT za pomocą tokenów odświeżania

1. Sprawdź obecność tokena w nagłówkach żądania.
2. Sprawdź, czy token jest prawidłowym tokenem JWT, poprawnie podpisanym i czy nie wygasł.
3. Sprawdź, czy użytkownik istnieje we właściwości uid ładunku.
4. Sprawdź, czy token odświeżania wystawiającego nadal istnieje z właściwości rid.

Jaka jest różnica między tokenem dostępu a odświeżaniem?

ten różnica pomiędzy a odśwież token i token dostępu jest publiczność: odśwież token wraca tylko do serwera autoryzacji, token dostępu trafia do serwera zasobów (RS). Orzeźwiający ten token dostępu da tobie dostęp do interfejsu API w imieniu użytkownika, nie poinformuje Cię, czy użytkownik tam jest.