โทเค็น JWT จะหมดอายุอย่างไร

2024 ผู้เขียน: Lynn Donovan | [email protected]. แก้ไขล่าสุด: 2023-12-15 23:54

NS โทเค็น JWT ที่ไม่เคย หมดอายุ เป็นอันตรายหาก โทเค็น ถูกขโมยไปแล้วใครบางคน สามารถ เข้าถึงข้อมูลของผู้ใช้เสมอ อ้างจาก JWT RFC: ดังนั้นคำตอบจึงชัดเจน ตั้งค่า หมดอายุ วันที่ในการเรียกร้อง exp และปฏิเสธ โทเค็น ทางฝั่งเซิร์ฟเวอร์หากวันที่ในการเรียกร้อง exp อยู่ก่อนวันที่ปัจจุบัน

ตามลําดับ โทเค็น JWT ควรมีอายุนานเท่าใด

15 นาที

ด้านบนนี้ คุณจะเก็บโทเค็น JWT อย่างไร NS JWT ต้องเก็บไว้ในที่ปลอดภัยภายในเบราว์เซอร์ของผู้ใช้ ถ้าคุณ เก็บ มันอยู่ใน localStorage สามารถเข้าถึงได้โดยสคริปต์ใด ๆ ในหน้าของคุณ (ซึ่งไม่ดีเท่าที่ฟังเนื่องจากการโจมตี XSS สามารถให้ผู้โจมตีภายนอกเข้าถึงได้ โทเค็น ). อย่า เก็บ มันในท้องถิ่น พื้นที่จัดเก็บ (หรือเซสชั่น พื้นที่จัดเก็บ ).

นอกจากนี้ ฉันจะบังคับให้โทเค็น JWT หมดอายุได้อย่างไร

บังคับให้หมดอายุ JWT ด้วยโทเค็นการรีเฟรช

1. ตรวจสอบการมีอยู่ของโทเค็นในส่วนหัวของคำขอ
2. ตรวจสอบว่าโทเค็นเป็น JWT ที่ถูกต้อง ลงชื่ออย่างถูกต้องและไม่หมดอายุ
3. ตรวจสอบว่าผู้ใช้มีอยู่จากคุณสมบัติ uid ของเพย์โหลด
4. ตรวจสอบการออกโทเค็นการรีเฟรชที่ยังคงมีอยู่ในคุณสมบัติการกำจัด

โทเค็นการเข้าถึงและการรีเฟรชต่างกันอย่างไร

NS ความแตกต่างระหว่าง NS รีเฟรชโทเค็น และ an โทเค็นการเข้าถึง คือผู้ชม: the รีเฟรชโทเค็น กลับไปที่เซิร์ฟเวอร์การอนุญาตเท่านั้น the โทเค็นการเข้าถึง ไปที่เซิร์ฟเวอร์ทรัพยากร (RS) สดชื่น NS โทเค็นการเข้าถึง จะให้คุณ เข้าไป ไปยัง API ในนามของผู้ใช้ จะไม่บอกคุณว่าผู้ใช้อยู่ที่นั่นหรือไม่