JWT身份验证到期
问题描述:
我正在开发一个角度应用程序,该应用程序目前已通过Cookie和会话进行身份验证。但我想使用jwt认证。JWT身份验证到期
而且我有一个疑问,如果该令牌被盗后,完整的认证是偷来的?
而且如果没有到期日是有风险吗?
因为如果我在我的电脑登录,然后令牌始终驻留在浏览器本地存储,如果有人偷了该令牌从我的电脑,他们有访问我的帐户。那么它是如何安全认证
请帮我理解的风险和这种工作方式。
谢谢
答
是,在没有exp
(过期时间)要求的,如果您的令牌被盗,你将有一个严重的安全问题。 这可以由观众来减轻如果jti
(令牌ID)根据权利要求被设置,但必要的存储(例如数据库和文件系统...)与所有撤销jti
。
根据OpenID Connect Core Specification,ID令牌必须有exp
和usually no more than a few minutes
。 我认为所有使用JWT的身份验证提供程序都应遵循此要求。
将您的令牌存储在Cookie中,并在退出时为Cookie提供过期日期或过期Cookie。 –