Hoe verlopen JWT-tokens?

2025 Auteur: Lynn Donovan | [email protected]. Laatst gewijzigd: 2025-01-22 17:35

EEN JWT-token dat nooit verloopt is gevaarlijk als de token is gestolen dan iemand kan altijd toegang tot de gegevens van de gebruiker. Geciteerd door JWT RFC: Dus het antwoord ligt voor de hand, stel de vervaldatum datum in de exp-claim en verwerp de token aan de serverzijde als de datum in de exp-claim vóór de huidige datum ligt.

Dienovereenkomstig, hoe lang moet een JWT-token meegaan?

15 minuten

Hoe bewaart u naast bovenstaande JWT-tokens? EEN JWT moet op een veilige plaats in de browser van de gebruiker worden opgeslagen. als jij winkel het binnen localStorage, het is toegankelijk voor elk script op uw pagina (wat zo erg is als het klinkt, aangezien een XSS-aanval een externe aanvaller toegang kan geven tot de token ). niet doen winkel het in lokaal opslag (of sessie) opslag ).

Hoe dwing ik een JWT-token af, behalve hierboven?

Forceer het verlopen van JWT's met Refresh Tokens

1. Controleer op de aanwezigheid van een token in de headers van de aanvraag.
2. Controleer of het token een geldige JWT is, correct is ondertekend en niet is verlopen.
3. Controleer of de gebruiker bestaat uit de eigenschap uid van de payload.
4. Controleer of het uitgevende vernieuwingstoken nog bestaat uit de eigenschap rid.

Wat is het verschil tussen toegangstoken en vernieuwen?

De verschil tussen een ververs token en een toegangstoken is het publiek: de ververs token gaat alleen terug naar de autorisatieserver, de toegangstoken gaat naar de (RS) bronserver. Verfrissend de toegangstoken zal je geven toegang naar een API namens de gebruiker, zal het u niet vertellen of de gebruiker daar is.