Si skadojnë argumentet JWT?

2024 Autor: Lynn Donovan | [email protected]. E modifikuara e fundit: 2023-12-15 23:53

A Shenja JWT që kurrë skadon është e rrezikshme nëse shenjë është vjedhur pastaj dikush mund gjithmonë aksesoni të dhënat e përdoruesit. Cituar nga JWT RFC: Pra, përgjigja është e qartë, vendoseni skadimit datën në kërkesën për shpenzim dhe refuzoni atë shenjë në anën e serverit nëse data në pretendimin eksploziv është përpara datës aktuale.

Përkatësisht, sa kohë duhet të zgjasë një shenjë JWT?

15 minuta

Përveç sa më sipër, si i ruani argumentet JWT? A JWT duhet të ruhet në një vend të sigurt brenda shfletuesit të përdoruesit. nëse ti dyqan është brenda localStorage, është i aksesueshëm nga çdo skript brenda faqes tuaj (që është aq i keq sa duket, pasi një sulm XSS mund të lejojë që një sulmues i jashtëm të ketë qasje në shenjë ). Mos dyqan atë në vend magazinimit (ose seancë magazinimit ).

Përveç sa më sipër, si mund ta detyroj një token JWT të skadojë?

Detyro skadimin e JWT-ve me Refresh Tokens

1. Kontrolloni për praninë e një token në kokat e kërkesës.
2. Kontrolloni që token të jetë një JWT i vlefshëm, i nënshkruar saktë dhe jo i skaduar.
3. Kontrolloni nëse përdoruesi ekziston nga vetia uid e ngarkesës.
4. Kontrollo që tokeni i rifreskimit që lëshon ekziston ende nga vetia rid.

Cili është ndryshimi midis tokenit të hyrjes dhe rifreskimit?

Të dallimi ndërmjet a shenjë rifreskimi dhe një shenjë e hyrjes është audienca: e shenjë rifreskimi kthehet vetëm te serveri i autorizimit, the shenjë e hyrjes shkon te serveri i burimeve (RS). Freskuese të shenjë e hyrjes do t'ju japë akses në një API në emër të përdoruesit, nuk do t'ju tregojë nëse përdoruesi është atje.