Comment les jetons JWT expirent-ils ?

2024 Auteur: Lynn Donovan | [email protected]. Dernière modifié: 2023-12-15 23:46

UNE Jeton JWT que jamais expire est dangereux si le jeton est volé alors quelqu'un pouvez toujours accéder aux données de l'utilisateur. Cité de JWT RFC: La réponse est donc évidente, définissez le expiration date dans la demande exp et rejeter la jeton côté serveur si la date dans la revendication exp est antérieure à la date actuelle.

En conséquence, combien de temps doit durer un jeton JWT ?

15 minutes

À côté de ci-dessus, comment stockez-vous les jetons JWT ? UNE JWT doit être stocké dans un endroit sûr dans le navigateur de l'utilisateur. Si tu boutique dans localStorage, il est accessible par n'importe quel script à l'intérieur de votre page (ce qui est aussi mauvais que cela puisse paraître, car une attaque XSS peut permettre à un attaquant externe d'accéder au jeton ). Ne pas boutique il en local espace de rangement (ou séance espace de rangement ).

À côté de ci-dessus, comment forcer l'expiration d'un jeton JWT ?

Forcer l'expiration des JWT avec des jetons d'actualisation

1. Vérifiez la présence d'un jeton dans les en-têtes de la requête.
2. Vérifiez que le jeton est un JWT valide, correctement signé et non expiré.
3. Vérifiez que l'utilisateur existe à partir de la propriété uid de la charge utile.
4. Vérifiez que le jeton d'actualisation émis existe toujours à partir de la propriété rid.

Quelle est la différence entre le jeton d'accès et l'actualisation ?

Les différence entre une jeton d'actualisation Et un jeton d'accès est le public: le jeton d'actualisation ne revient qu'au serveur d'autorisation, le jeton d'accès va au serveur de ressources (RS). Rafraîchissant les jeton d'accès te donnera accès à une API au nom de l'utilisateur, il ne vous dira pas si l'utilisateur est là.