Kaip baigiasi JWT žetonų galiojimo laikas?

2024 Autorius: Lynn Donovan | [email protected]. Paskutinį kartą keistas: 2023-12-15 23:50

A JWT žetonas kad niekada baigiasi yra pavojingas, jei žetonas yra pavogtas tada kažkas gali visada pasiekti vartotojo duomenis. Citata iš JWT RFC: Taigi atsakymas yra akivaizdus, nustatykite galiojimo laikas datą exp pretenzijoje ir atmesti žetonas serverio pusėje, jei termino paraiškoje nurodyta data yra ankstesnė nei dabartinė data.

Atitinkamai, kiek laiko turėtų galioti JWT žetonas?

15 minučių

Be to, kaip saugote JWT žetonus? A JWT turi būti saugomi saugioje vietoje vartotojo naršyklėje. Jei tu parduotuvė ji yra vietinėje saugykloje, ji pasiekiama naudojant bet kokį scenarijų jūsų puslapyje (tai taip blogai, kaip skamba, nes XSS ataka gali leisti išoriniam užpuolikui pasiekti žetonas ). Nereikia parduotuvė tai vietine kalba saugykla (arba sesija saugykla ).

Be to, kaip priversti JWT prieigos raktą baigti galioti?

Priverstinai baigiasi JWT su atnaujinimo žetonais

1. Patikrinkite, ar užklausos antraštėse nėra prieigos rakto.
2. Patikrinkite, ar prieigos raktas yra galiojantis JWT, tinkamai pasirašytas ir nepasibaigęs.
3. Patikrinkite, ar vartotojas egzistuoja pagal naudingojo krovinio uid ypatybę.
4. Patikrinkite, ar išdavęs atnaujinimo prieigos raktas vis dar egzistuoja pašalintoje nuosavybėje.

Kuo skiriasi prieigos prieigos raktas ir atnaujinimas?

The skirtumas tarp a atnaujinimo prieigos raktas ir an prieigos raktas yra auditorija: atnaujinimo prieigos raktas grįžta tik į autorizacijos serverį prieigos raktas eina į (RS) išteklių serverį. Gaivus į prieigos raktas duos tau prieiga į API vartotojo vardu, jis jums nepasakys, ar vartotojas yra ten.