Πώς λήγουν τα κουπόνια JWT;

2024 Συγγραφέας: Lynn Donovan | [email protected]. Τελευταία τροποποίηση: 2023-12-15 23:45

ΕΝΑ Token JWT που ποτέ λήγει είναι επικίνδυνο εάν το ένδειξη κλέβεται τότε κάποιος μπορώ έχετε πάντα πρόσβαση στα δεδομένα του χρήστη. Παράθεση από JWT RFC: Η απάντηση λοιπόν είναι προφανής, ορίστε το λήξη ημερομηνία στην αξίωση exp και απορρίψτε το ένδειξη στην πλευρά του διακομιστή, εάν η ημερομηνία στην αξίωση exp είναι πριν από την τρέχουσα ημερομηνία.

Αντίστοιχα, πόσο πρέπει να διαρκέσει ένα διακριτικό JWT;

15 λεπτά

Εκτός από τα παραπάνω, πώς αποθηκεύετε τα κουπόνια JWT; ΕΝΑ JWT πρέπει να αποθηκευτεί σε ασφαλές μέρος μέσα στο πρόγραμμα περιήγησης του χρήστη. Αν εσύ κατάστημα είναι μέσα στο localStorage, είναι προσβάσιμο από οποιοδήποτε σενάριο μέσα στη σελίδα σας (το οποίο είναι τόσο κακό όσο ακούγεται, καθώς μια επίθεση XSS μπορεί να επιτρέψει σε έναν εξωτερικό εισβολέα να αποκτήσει πρόσβαση στο ένδειξη ). Μην το κάνετε κατάστημα το σε τοπικό αποθήκευση (ή συνεδρία αποθήκευση ).

Εκτός από τα παραπάνω, πώς μπορώ να αναγκάσω ένα διακριτικό JWT να λήξει;

Επιβολή λήξης JWT με Ανανέωση Tokens

1. Ελέγξτε για την παρουσία ενός διακριτικού στις κεφαλίδες του αιτήματος.
2. Ελέγξτε ότι το διακριτικό είναι έγκυρο JWT, σωστά υπογεγραμμένο και δεν έχει λήξει.
3. Ελέγξτε ότι ο χρήστης υπάρχει από την ιδιότητα uid του ωφέλιμου φορτίου.
4. Ελέγξτε ότι το διακριτικό ανανέωσης έκδοσης εξακολουθεί να υπάρχει από την ιδιοκτησία απαλλαγής.

Ποια είναι η διαφορά μεταξύ του διακριτικού πρόσβασης και της ανανέωσης;

ο διαφορά μεταξύ ένα διακριτικό ανανέωσης και ένα διακριτικό πρόσβασης είναι το κοινό: το διακριτικό ανανέωσης επιστρέφει μόνο στον διακομιστή εξουσιοδότησης, το διακριτικό πρόσβασης πηγαίνει στον διακομιστή πόρων (RS). Δροσιστικός ο διακριτικό πρόσβασης θα σου δώσω πρόσβαση σε ένα API για λογαριασμό του χρήστη, δεν θα σας ενημερώσει εάν ο χρήστης είναι εκεί.