Com caduquen els testimonis JWT?

2024 Autora: Lynn Donovan | [email protected]. Última modificació: 2023-12-15 23:44

A Fitxa JWT això mai caduca és perillós si el testimoni llavors algú és robat llauna sempre accedir a les dades de l'usuari. Citat de JWT RFC: Així que la resposta és òbvia, configureu el caducitat data a la reclamació exp i rebutjar la testimoni al costat del servidor si la data de la reclamació exp és anterior a la data actual.

En conseqüència, quant de temps hauria de durar un testimoni JWT?

15 minuts

Al costat de dalt, com emmagatzemen els fitxes JWT? A JWT s'ha d'emmagatzemar en un lloc segur dins del navegador de l'usuari. Si tu botiga dins de localStorage, és accessible per qualsevol script dins de la vostra pàgina (que és tan dolent com sembla, ja que un atac XSS pot permetre que un atacant extern tingui accés al testimoni ). No ho facis botiga ho en local emmagatzematge (o sessió emmagatzematge ).

A més a més, com puc forçar un testimoni JWT a caducar?

Força la caducitat dels JWT amb fitxes d'actualització

1. Comproveu la presència d'un testimoni a les capçaleres de la sol·licitud.
2. Comproveu que el testimoni sigui un JWT vàlid, signat correctament i no caducat.
3. Comproveu que l'usuari existeix des de la propietat uid de la càrrega útil.
4. Comproveu que el testimoni d'actualització d'emissió encara existeix de la propietat de desfer.

Quina diferència hi ha entre el testimoni d'accés i l'actualització?

El diferència entre a testimoni d'actualització i un fitxa d'accés és el públic: el testimoni d'actualització només torna al servidor d'autorització, el fitxa d'accés va al servidor de recursos (RS). Refrescant el fitxa d'accés et donarà accés a una API en nom de l'usuari, no us dirà si l'usuari hi és.