1
我正在開發一個角度應用程序,該應用程序目前已通過Cookie和會話進行身份驗證。但我想使用jwt認證。JWT身份驗證到期
而且我有一個疑問,如果該令牌被盜後,完整的認證是偷來的?
而且如果沒有到期日是有風險嗎?
因爲如果我在我的電腦登錄,然後令牌始終駐留在瀏覽器本地存儲,如果有人偷了該令牌從我的電腦,他們有訪問我的帳戶。那麼它是如何安全認證
請幫我理解的風險和這種工作方式。
謝謝
A
回答
2
是,在沒有exp(過期時間)要求的,如果您的令牌被盜,你將有一個嚴重的安全問題。 這可以由觀衆來減輕如果jti(令牌ID)根據權利要求被設置,但必要的存儲(例如數據庫和文件系統...)與所有撤銷jti。
根據OpenID Connect Core Specification,ID令牌必須有exp和usually no more than a few minutes。 我認爲所有使用JWT的身份驗證提供程序都應遵循此要求。
相關問題
- 1. 實施JWT身份驗證
- 2. go-restful + JWT身份驗證
- 3. JWT身份驗證和用戶驗證
- 4. ASP .NET Core Identity默認身份驗證與JWT身份驗證
- 5. 身份驗證Cookie到期
- 6. 基本身份驗證和JWT
- 7. 移動API的Jhipster Jwt身份驗證
- 8. 身份驗證:JWT使用與會話
- 9. JWT身份驗證和授權
- 10. 設置passport-jwt身份驗證
- 11. PHP:基於JWT的身份驗證
- 12. jwt服務器端身份驗證JsonWebTokenError
- 13. Asp.Net Web API JWT身份驗證
- 14. Spring OAuth2和JWT身份驗證信息
- 15. 護照JWT&授權與身份驗證
- 16. 使用JWT聯合身份驗證的REST身份驗證/授權
- 17. 更改由Knock gem生成的JWT身份驗證令牌的到期期限
- 18. jwt - 微型服務中的Django-rest-framework-jwt身份驗證
- 19. ServiceStack Jwt身份驗證檢查是否已通過驗證
- 20. ASIHTTP身份驗證令牌到期
- 21. ASP.NET窗體身份驗證到期
- 22. Windows身份驗證到SQL Server身份驗證
- 23. 基本身份驗證,回退到窗體身份驗證
- 24. 將用戶身份驗證遷移到Firebase身份驗證
- 25. OAuth身份驗證到EWS
- 26. 身份驗證mysql到.net
- 27. ASP.NET身份驗證到LDAp
- 28. 新創建的身份驗證票證中的到期日期(asp.net表單身份驗證)
- 29. 具有JWT和基本身份驗證的HttpListener:如何發送WWW身份驗證? (Self-Hosted)
- 30. 如何在Spring Boot中使用JWT身份驗證實現基本身份驗證?
將您的令牌存儲在Cookie中,並在退出時爲Cookie提供過期日期或過期Cookie。 –