כיצד פוקעים אסימוני JWT?

2024 מְחַבֵּר: Lynn Donovan | [email protected]. שונה לאחרונה: 2023-12-15 23:47

א אסימון JWT שלעולם לא יפוג מסוכן אם אֲסִימוֹן נגנב אז מישהו פחית תמיד לגשת לנתוני המשתמש. מצוטט מ JWT RFC: אז התשובה ברורה, הגדר את תפוגה תאריך בתביעת exp ודחה את אֲסִימוֹן בצד השרת אם התאריך בתביעת exp הוא לפני התאריך הנוכחי.

בהתאם, כמה זמן אמור להימשך אסימון JWT?

15 דקות

מלבד למעלה, איך מאחסנים אסימוני JWT? א JWT צריך להיות מאוחסן במקום בטוח בתוך הדפדפן של המשתמש. אם אתה חנות זה בתוך localStorage, זה נגיש על ידי כל סקריפט בתוך הדף שלך (וזה גרוע כמו שזה נשמע, מכיוון שהתקפת XSS יכולה לאפשר לתוקף חיצוני לקבל גישה ל- אֲסִימוֹן ). אל תעשה חנות זה מקומי אִחסוּן (או ישיבה אִחסוּן ).

מלבד למעלה, איך אני מכריח אסימון JWT לפוג?

כפה תפוגה של JWTs עם אסימוני רענון

1. בדוק אם יש אסימון בכותרות הבקשה.
2. בדוק שהאסימון הוא JWT תקף, חתום כהלכה ולא פג תוקפו.
3. בדוק שהמשתמש קיים ממאפיין ה-uid של המטען.
4. בדוק את אסימון הרענון המנפיק עדיין קיים מהמאפיין להיפטר.

מה ההבדל בין אסימון גישה לרענון?

ה הבדל בין א רענון אסימון ו אסימון גישה הוא הקהל: ה רענון אסימון חוזר רק לשרת ההרשאות, ה אסימון גישה עובר לשרת המשאבים (RS). מְרַעֲנֵן ה אסימון גישה יתן לך גִישָׁה ל-API מטעם המשתמש, הוא לא יגיד לך אם המשתמש נמצא שם.