Kuidas JWT märgid aeguvad?

2024 Autor: Lynn Donovan | [email protected]. Viimati modifitseeritud: 2023-12-15 23:46

A JWT märk et mitte kunagi aegub on ohtlik, kui märk varastatakse siis keegi saab alati juurdepääs kasutaja andmetele. Tsiteeritud alates JWT RFC: vastus on ilmne, määrake aegumist kuupäev eksemplari nõudes ja lükata tagasi märk serveri poolel, kui aegumisnõude kuupäev on varasem kui praegune kuupäev.

Vastavalt sellele, kui kaua peaks JWT token kestma?

15 minutit

Lisaks ülalolevale, kuidas te JWT märke salvestate? A JWT tuleb salvestada turvalises kohas kasutaja brauseris. Kui sa poodi see on localStorage'i sees, sellele pääseb juurde mis tahes teie lehel oleva skriptiga (mis on nii halb, kui see ka ei kõla, kuna XSS-rünnak võib võimaldada välisel ründajal juurdepääsu märk ). Ära tee poodi see kohalikus keeles ladustamine (või seanss ladustamine ).

Lisaks ülaltoodule, kuidas sundida JWT-märki aeguma?

Värskendusmärkidega JWT-de aegumine sunniviisiliselt

1. Kontrollige päringu päistes märgi olemasolu.
2. Kontrollige, et žetoon oleks kehtiv JWT, õigesti allkirjastatud ja aegunud.
3. Kontrolli kasutaja olemasolu kasuliku koorma uid atribuudist.
4. Kontrollige, kas vabastatud atribuudis on väljastanud värskendusluba ikka olemas.

Mis vahe on juurdepääsuluba ja värskendamise vahel?

The vahe vahel a värskenda žetoon ja an juurdepääsuluba on publik: värskenda žetoon naaseb ainult autoriseerimisserverisse juurdepääsuluba läheb (RS) ressursiserverisse. Värskendav a juurdepääsuluba annab sulle juurdepääs kasutaja nimel olevale API-le, ei ütle see teile, kas kasutaja on seal.