iOS 应用的 JWT 身份验证

Question

我正在制作一个 iOS 应用程序，我在其中使用 Laravel 5.2 来开发我的 REST API。对于用户身份验证，我使用的是 JWT。当用户从我的应用程序登录时，我会发回 JWT。问题是我可以将令牌的到期时间设置为“从不”吗？如果可能的话，这是个好主意吗？或者我应该每 x 分钟刷新一次令牌？如果我应该每 x 分钟刷新一次令牌，我该怎么做以及何时应该这样做。我希望用户在第一次登录时始终登录，除非用户手动注销。我在想每次用户获取一些私人数据时我都会刷新令牌？

PS：我无法在 laracast 论坛上发表对话。每当我想单击“发布对话”时，鼠标箭头旁边都会出现一个错误图标。

Answer 1

我会在您的客户端和后端之间协商一个密钥。然后，客户端将使用该密钥签署对服务器的任何请求。然后，如果您退出或发生其他事情，服务器可以拒绝该秘密。

只是将一个短暂的令牌传递给客户端意味着它可以做的事情真的很有限。传递秘密意味着客户端可以在令牌过期很长时间后继续签署请求。即使攻击者有机会在令牌穿过网络时听到令牌，它也将是短暂的，因此用途有限。