¿Cómo caducan los tokens JWT?

2024 Autor: Lynn Donovan | [email protected]. Última modificación: 2023-12-15 23:45

A Token JWT eso nunca expira es peligroso si el simbólico es robado entonces alguien pueden acceder siempre a los datos del usuario. Citado de JWT RFC: Entonces la respuesta es obvia, establezca el vencimiento fecha en el reclamo exp y rechazar el simbólico en el lado del servidor si la fecha en el reclamo exp es anterior a la fecha actual.

En consecuencia, ¿cuánto tiempo debe durar un token JWT?

15 minutos

Además de arriba, ¿cómo se almacenan los tokens JWT? A JWT debe almacenarse en un lugar seguro dentro del navegador del usuario. Si tu Tienda dentro de localStorage, se puede acceder a él mediante cualquier script dentro de su página (lo cual es tan malo como suena, ya que un ataque XSS puede permitir que un atacante externo obtenga acceso al simbólico ). No Tienda es en local almacenamiento (o sesión almacenamiento ).

Además de arriba, ¿cómo fuerzo la expiración de un token JWT?

Forzar la expiración de los JWT con tokens de actualización

1. Compruebe la presencia de un token en los encabezados de la solicitud.
2. Verifique que el token sea un JWT válido, correctamente firmado y no vencido.
3. Compruebe que el usuario existe a partir de la propiedad uid de la carga útil.
4. Verifique que el token de actualización de emisión aún exista de la propiedad rid.

¿Cuál es la diferencia entre token de acceso y actualización?

los diferencia entre a token de actualización y un token de acceso es la audiencia: la token de actualización sólo vuelve al servidor de autorización, el token de acceso va al servidor de recursos (RS). Refrescante los token de acceso Te regalaré acceso a una API en nombre del usuario, no le dirá si el usuario está allí.