Come scadono i token JWT?

2024 Autore: Lynn Donovan | [email protected]. Ultima modifica: 2023-12-15 23:49

UN Token JWT che mai scade è pericoloso se gettone è rubato allora qualcuno Potere accedere sempre ai dati dell'utente. Citato da JWT RFC: Quindi la risposta è ovvia, imposta il scadenza data nella richiesta exp e rifiutare il gettone sul lato server se la data nella richiesta exp è precedente alla data corrente.

Di conseguenza, quanto deve durare un token JWT?

15 minuti

Oltre a quanto sopra, come conservi i token JWT? UN JWT deve essere archiviato in un luogo sicuro all'interno del browser dell'utente. Se tu negozio all'interno di localStorage, è accessibile da qualsiasi script all'interno della tua pagina (il che è grave come sembra, poiché un attacco XSS può consentire a un utente malintenzionato esterno di accedere al gettone ). non farlo negozio in locale Conservazione (o sessione Conservazione ).

Oltre a quanto sopra, come faccio a forzare la scadenza di un token JWT?

Forza la scadenza dei JWT con i token di aggiornamento

1. Verifica la presenza di un token nelle intestazioni della richiesta.
2. Verifica che il token sia un JWT valido, firmato correttamente e non scaduto.
3. Verificare che l'utente esista dalla proprietà uid del payload.
4. Verificare che il token di aggiornamento di emissione esista ancora dalla proprietà rid.

Qual è la differenza tra token di accesso e aggiornamento?

Il differenza tra un aggiornamento token e un token di accesso è il pubblico: il aggiornamento token torna solo al server di autorizzazione, il token di accesso va al server di risorse (RS). Rinfrescante il token di accesso ti darà accesso a un'API per conto dell'utente, non ti dirà se l'utente è presente.