Kā beidzas JWT žetonu derīguma termiņš?

2024 Autors: Lynn Donovan | [email protected]. Pēdējoreiz modificēts: 2023-12-15 23:50

A JWT marķieris ka nekad beidzas ir bīstami, ja žetons tiek nozagts tad kāds var vienmēr piekļūt lietotāja datiem. Citēts no JWT RFC: tātad atbilde ir acīmredzama, iestatiet derīguma termiņš datumu termiņa prasībā un noraidīt žetons servera pusē, ja derīguma termiņa prasībā norādītais datums ir pirms pašreizējā datuma.

Attiecīgi, cik ilgi vajadzētu būt JWT marķierim?

15 minūtes

Papildus iepriekš minētajam, kā jūs glabājat JWT žetonus? A JWT jāglabā drošā vietā lietotāja pārlūkprogrammā. Ja jūs veikals tas ir pieejams lokālajā krātuvē, tas ir pieejams ar jebkuru skriptu jūsu lapā (kas ir tik slikti, kā tas izklausās, jo XSS uzbrukums var ļaut ārējam uzbrucējam piekļūt žetons ). Nevajag veikals tas vietējā valodā uzglabāšana (vai sesija uzglabāšana ).

Papildus iepriekš minētajam, kā piespiest JWT marķiera derīguma termiņu beigties?

Piespiedu kārtā beidzas JWT ar atsvaidzināšanas marķieri

1. Pārbaudiet, vai pieprasījuma galvenēs nav marķiera.
2. Pārbaudiet, vai marķieris ir derīgs JWT, pareizi parakstīts un tam nav beidzies derīguma termiņš.
3. Pārbaudiet, vai lietotājs pastāv, izmantojot lietderīgās slodzes uid rekvizītu.
4. Pārbaudiet, vai atbrīvotajā īpašumā joprojām pastāv izdevēja atsvaidzināšanas pilnvara.

Kāda ir atšķirība starp piekļuves pilnvaru un atsvaidzināšanu?

The atšķirība starp a atsvaidzināt marķieri un an pieejas atslēga ir auditorija: atsvaidzināt marķieri atgriežas tikai uz autorizācijas serveri pieejas atslēga pāriet uz (RS) resursu serveri. Atsvaidzinoša uz pieejas atslēga dos tev piekļuvi uz API lietotāja vārdā, tas jums nepateiks, vai lietotājs ir tur.