چگونه توکن های JWT منقضی می شوند؟

2024 نویسنده: Lynn Donovan | [email protected]. آخرین اصلاح شده: 2023-12-15 23:46

آ توکن JWT که هرگز منقضی می شود خطرناک است اگر نشانه پس از آن کسی به سرقت رفته است می توان همیشه به داده های کاربر دسترسی داشته باشید. به نقل از JWT RFC: بنابراین پاسخ واضح است، تنظیم کنید انقضاء تاریخ در ادعای انقضا و رد نشانه در سمت سرور اگر تاریخ در ادعای Expand قبل از تاریخ فعلی باشد.

به همین ترتیب، یک توکن JWT چقدر باید دوام بیاورد؟

15 دقیقه

علاوه بر بالا، چگونه توکن های JWT را ذخیره می کنید؟ آ JWT باید در مکانی امن در داخل مرورگر کاربر ذخیره شود. اگر شما فروشگاه در داخل localStorage، با هر اسکریپتی در داخل صفحه شما قابل دسترسی است (که به نظر بد است، زیرا یک حمله XSS می تواند به مهاجم خارجی اجازه دسترسی به نشانه ). نکن فروشگاه آن را به صورت محلی ذخیره سازی (یا جلسه ذخیره سازی ).

علاوه بر موارد فوق، چگونه یک توکن JWT را مجبور به انقضا کنم؟

انقضای اجباری JWT ها با توکن های Refresh

1. وجود نشانه را در هدر درخواست بررسی کنید.
2. بررسی کنید که نشانه JWT معتبر، به درستی امضا شده و منقضی نشده باشد.
3. وجود کاربر را از ویژگی uid محموله بررسی کنید.
4. بررسی کنید که کد به‌روزرسانی صادرکننده هنوز از ویژگی rid وجود دارد.

تفاوت بین توکن دسترسی و رفرش چیست؟

را تفاوت بین آ نشانه رفرش و یک نشانه دسترسی مخاطب است: نشانه رفرش فقط به سرور مجوز باز می گردد نشانه دسترسی به سرور منبع (RS) می رود. طراوت بخش را نشانه دسترسی به تو خواهد داد دسترسی داشته باشید به یک API از طرف کاربر، به شما نمی گوید که آیا کاربر آنجاست یا خیر.