Miten JWT-tunnukset vanhenevat?

2024 Kirjoittaja: Lynn Donovan | [email protected]. Viimeksi muokattu: 2023-12-15 23:46

A JWT-tunnus että ei koskaan päättyy on vaarallista, jos merkki varastetaan sitten joku voi aina päästä käsiksi käyttäjän tietoihin. Lainaus kohteesta JWT RFC: Joten vastaus on ilmeinen, aseta vanheneminen päivämäärä ja hylkää se merkki palvelinpuolella, jos exp-vaatimuksen päivämäärä on ennen nykyistä päivämäärää.

Vastaavasti, kuinka kauan JWT-tunnuksen tulisi kestää?

15 minuuttia

Yllä olevan lisäksi, kuinka säilytät JWT-tokeneita? A JWT on säilytettävä turvallisessa paikassa käyttäjän selaimessa. Jos sinä tallentaa se on localStoragessa, siihen pääsee millä tahansa sivullasi olevalla skriptillä (mikä on niin pahalta kuin miltä se kuulostaakin, sillä XSS-hyökkäys voi antaa ulkoiselle hyökkääjälle pääsyn merkki ). Älä tallentaa se paikallisesti varastointi (tai istunto varastointi ).

Yllä olevan lisäksi, kuinka pakotan JWT-tunnuksen vanhentumaan?

Pakota JWT:iden vanheneminen päivitystunnuksilla

1. Tarkista, onko pyynnön otsikoissa merkki.
2. Tarkista, että tunnus on kelvollinen JWT, oikein allekirjoitettu eikä vanhentunut.
3. Tarkista käyttäjän olemassaolo hyötykuorman uid-ominaisuudesta.
4. Tarkista, että vapautuneen omaisuuden myöntänyt päivitystunnus on edelleen olemassa.

Mitä eroa on pääsytunnuksella ja päivityksellä?

The ero välillä a päivitä tunnus ja an pääsytunnus on yleisö: päivitä tunnus palaa vain valtuutuspalvelimelle pääsytunnus menee (RS) resurssipalvelimelle. Virkistävä the pääsytunnus antaa sinulle pääsy API:lle käyttäjän puolesta, se ei kerro, onko käyttäjä siellä.