كيف تنتهي صلاحية توكنات JWT؟

2024 مؤلف: Lynn Donovan | [email protected]. آخر تعديل: 2023-12-15 23:43

أ رمز JWT هذا ابدا تنتهي خطير إذا كان رمز سرق ثم شخص ما علبة الوصول دائمًا إلى بيانات المستخدم. نقلا عن JWT RFC: الجواب واضح ، اضبط ملف انتهاء الصلاحية التاريخ في مطالبة الصلاحية ورفض رمز على جانب الخادم إذا كان التاريخ في مطالبة exp قبل التاريخ الحالي.

في المقابل ، ما هي المدة التي يجب أن تدوم فيها عملة JWT؟

15 دقيقة

بجانب ما ورد أعلاه ، كيف تحفظ توكنات JWT؟ أ JWT يجب تخزينها في مكان آمن داخل متصفح المستخدم. اذا أنت متجر داخل localStorage ، يمكن الوصول إليه من خلال أي برنامج نصي داخل صفحتك (وهو أمر سيئ كما يبدو ، حيث أن هجوم XSS يمكن أن يسمح لمهاجم خارجي بالوصول إلى رمز ). لا تفعل متجر في المحلية تخزين (أو جلسة تخزين ).

إلى جانب ما ورد أعلاه ، كيف أفرض انتهاء صلاحية رمز JWT؟

فرض انتهاء صلاحية JWTs باستخدام رموز التحديث

1. تحقق من وجود رمز مميز في رؤوس الطلب.
2. تحقق من أن الرمز المميز هو JWT صالح وموقع بشكل صحيح وغير منتهي الصلاحية.
3. تحقق من وجود المستخدم من خاصية uid للحمولة.
4. تحقق من إصدار التحديث المميز لا يزال موجودًا من خاصية rid.

ما هو الفرق بين رمز الوصول والتحديث؟

ال الفرق بين أ رمز التحديث و رمز وصول هو الجمهور: رمز التحديث يعود فقط إلى خادم التفويض ، و رمز وصول يذهب إلى خادم الموارد (RS). منعش ال رمز وصول سوف أعطيك التمكن من إلى واجهة برمجة التطبيقات نيابة عن المستخدم ، فلن يخبرك ما إذا كان المستخدم موجودًا هناك.