Ako vyprší platnosť tokenov JWT?

2024 Autor: Lynn Donovan | [email protected]. Naposledy zmenené: 2023-12-15 23:52

A token JWT že nikdy vyprší je nebezpečné, ak žetón je ukradnutý potom niekto môcť vždy pristupovať k údajom používateľa. Citované z JWT RFC: Takže odpoveď je zrejmá, nastavte expirácia dátum v exp tvrdení a zamietnuť žetón na strane servera, ak je dátum v exp tvrdení pred aktuálnym dátumom.

Ako dlho by mal teda token JWT vydržať?

15 minút

Okrem vyššie uvedeného, ako ukladáte tokeny JWT? A JWT musia byť uložené na bezpečnom mieste v prehliadači používateľa. Ak ty obchod v rámci localStorage je prístupný akýmkoľvek skriptom na vašej stránke (čo je také zlé, ako to znie, pretože útok XSS môže umožniť externému útočníkovi získať prístup k žetón ). nie obchod to v miestnom jazyku skladovanie (alebo relácia skladovanie ).

Okrem vyššie uvedeného, ako prinútim, aby platnosť tokenu JWT vypršala?

Vynútiť ukončenie platnosti JWT pomocou obnovovacích tokenov

1. Skontrolujte prítomnosť tokenu v hlavičkách požiadavky.
2. Skontrolujte, či je token platný JWT, správne podpísaný a jeho platnosť neuplynula.
3. Skontrolujte existenciu používateľa z vlastnosti uid užitočného zaťaženia.
4. Skontrolujte, či vydávajúci obnovovací token stále existuje z vlastnosti rid.

Aký je rozdiel medzi prístupovým tokenom a obnovením?

The rozdiel medzi a obnovovací token a prístupový token je publikum: obnovovací token vráti sa iba na autorizačný server, prístupový token prejde na zdrojový server (RS). Osviežujúce a prístupový token vám dá prístup do API v mene používateľa, nepovie vám, či tam používateľ je.