Как изтичат JWT токените?

2024 Автор: Lynn Donovan | [email protected]. Последно модифициран: 2023-12-15 23:43

А JWT токен че никога изтича е опасно, ако токен е откраднат тогава някой мога винаги има достъп до данните на потребителя. Цитирано от JWT RFC: Така че отговорът е очевиден, задайте изтичане дата в исковата молба и отхвърли токен от страна на сървъра, ако датата в искането за изпит е преди текущата дата.

Съответно колко дълго трябва да издържи токенът JWT?

15 минути

Освен по-горе, как съхранявате JWT токени? А JWT трябва да се съхранява на сигурно място в браузъра на потребителя. Ако ти магазин той е в localStorage, достъпен е от всеки скрипт във вашата страница (което е толкова лошо, колкото звучи, тъй като XSS атака може да позволи на външен нападател да получи достъп до токен ). Недей магазин го на местно съхранение (или сесия съхранение ).

Освен по-горе, как да принудя JWT токен да изтече?

Принудително изтичане на JWT с токени за опресняване

1. Проверете за наличието на токен в заглавките на заявката.
2. Проверете дали токенът е валиден JWT, правилно подписан и не е изтекъл.
3. Проверете дали потребителят съществува от свойството uid на полезния товар.
4. Проверете дали издаващият токен за опресняване все още съществува от свойството rid.

Каква е разликата между токен за достъп и опресняване?

В разлика между а токен за опресняване и ан жетон за достъп е публиката: the токен за опресняване се връща само към сървъра за оторизация, жетон за достъп отива към (RS) ресурсния сървър. Освежаващо на жетон за достъп ще ви даде достъп към API от името на потребителя, той няма да ви каже дали потребителят е там.