Kako potečejo žetoni JWT?

2024 Avtor: Lynn Donovan | [email protected]. Nazadnje spremenjeno: 2023-12-15 23:53

A Žeton JWT da nikoli poteče je nevarno, če žeton je potem nekdo ukraden lahko vedno dostopate do podatkov uporabnika. Citirano po JWT RFC: Torej je odgovor očiten, nastavite izteka datum v zahtevku exp in zavrniti žeton na strani strežnika, če je datum v zahtevku exp pred trenutnim datumom.

Ustrezno temu, kako dolgo naj traja žeton JWT?

15 minut

Poleg zgoraj, kako shranjujete žetone JWT? A JWT mora biti shranjena na varnem mestu v brskalniku uporabnika. Če ti trgovina znotraj localStorage, je dostopen s katerim koli skriptom na vaši strani (kar je tako slabo, kot se sliši, saj lahko napad XSS omogoči zunanjemu napadalcu dostop do žeton ). ne trgovina to v lokalnem jeziku skladiščenje (ali seja skladiščenje ).

Poleg zgoraj navedenega, kako prisilim, da žeton JWT poteče?

Vsili potek JWT-jev z žetoni za osvežitev

1. Preverite prisotnost žetona v glavah zahteve.
2. Preverite, ali je žeton veljaven JWT, pravilno podpisan in ni potekel.
3. Preverite, ali uporabnik obstaja iz lastnosti uid koristnega tovora.
4. Preverite, ali žeton za osvežitev izdaje še vedno obstaja iz lastnosti rid.

Kakšna je razlika med žetonom za dostop in osvežitvijo?

The razlika med a žeton za osvežitev in an dostopni žeton je občinstvo: the žeton za osvežitev gre samo nazaj na avtorizacijski strežnik, dostopni žeton gre na strežnik virov (RS). Osvežujoče the dostopni žeton vam bo dal dostop API-ju v imenu uporabnika, vam ne bo povedal, ali je uporabnik tam.