Kako istječu JWT tokeni?

2024 Autor: Lynn Donovan | [email protected]. Zadnja promjena: 2023-12-15 23:47

A JWT token da nikad ističe je opasno ako se znak je onda netko ukraden limenka uvijek pristupati podacima korisnika. Citirano iz JWT RFC: Dakle, odgovor je očit, postavite isteka datum u zahtjevu exp i odbiti znak na strani poslužitelja ako je datum u zahtjevu exp prije trenutnog datuma.

Sukladno tome, koliko bi JWT token trebao trajati?

15 minuta

Osim gore navedenog, kako pohranjujete JWT tokene? A JWT treba pohraniti na sigurno mjesto unutar preglednika korisnika. Ako ti pohraniti unutar localStorage, dostupna je bilo kojoj skripti unutar vaše stranice (što je loše koliko god zvučalo, budući da XSS napad može dopustiti vanjskom napadaču da dobije pristup znak ). nemoj pohraniti to na lokalnom skladištenje (ili sesija skladištenje ).

Osim gore navedenog, kako mogu prisiliti JWT token da istekne?

Prisilno istjecanje JWT-ova s tokenima za osvježavanje

1. Provjerite prisutnost tokena u zaglavljima zahtjeva.
2. Provjerite je li token valjani JWT, ispravno potpisan i da nije istekao.
3. Provjerite postoji li korisnik iz svojstva uid korisnog opterećenja.
4. Provjerite još uvijek postoji token za osvježavanje izdavanja iz svojstva rid.

Koja je razlika između tokena pristupa i osvježavanja?

The razlika između a token za osvježavanje i an pristupni token je publika: the token za osvježavanje vraća se samo na autorizacijski poslužitelj, pristupni token ide na (RS) poslužitelj resursa. Osvježavajući the pristupni token dat će ti pristup API-ju u ime korisnika, neće vam reći je li korisnik tamo.