Jak vyprší platnost tokenů JWT?

2024 Autor: Lynn Donovan | [email protected]. Naposledy změněno: 2023-12-15 23:44

A token JWT že nikdy vyprší je nebezpečné, pokud žeton je ukradený pak někdo umět vždy přistupovat k datům uživatele. Citováno z JWT RFC: Takže odpověď je zřejmá, nastavte vypršení datum v exp tvrzení a zamítnout žeton na straně serveru, pokud je datum v exp tvrzení před aktuálním datem.

Jak dlouho by tedy měl token JWT vydržet?

15 minut

Kromě výše uvedeného, jak ukládáte tokeny JWT? A JWT musí být uloženy na bezpečném místě v prohlížeči uživatele. jestli ty obchod v localStorage je přístupný jakýmkoli skriptem na vaší stránce (což je tak špatné, jak to zní, protože útok XSS může umožnit externímu útočníkovi získat přístup k žeton ). Ne obchod to v místním úložný prostor (nebo relace úložný prostor ).

Kromě výše uvedeného, jak donutím, aby vypršela platnost tokenu JWT?

Vynutit vypršení platnosti JWT pomocí obnovovacích tokenů

1. Zkontrolujte přítomnost tokenu v záhlaví požadavku.
2. Zkontrolujte, zda je token platný JWT, správně podepsaný a nevypršela jeho platnost.
3. Zkontrolujte existenci uživatele z vlastnosti uid datové části.
4. Zkontrolujte, zda vydávající obnovovací token stále existuje z vlastnosti rid.

Jaký je rozdíl mezi přístupovým tokenem a aktualizací?

The rozdíl mezi A obnovovací token a přístupový token je publikum: obnovovací token pouze se vrátí na autorizační server, the přístupový token přejde na zdrojový server (RS). Osvěžující a přístupový token vám dá přístup k API jménem uživatele, neřekne vám, jestli tam uživatel je.