【问题标题】:Expiry in JWT authenticationJWT 身份验证过期
【发布时间】:2016-07-21 23:26:55
【问题描述】:

我正在开发一个 Angular 应用程序,该应用程序目前通过 cookie 和会话进行身份验证。但我想使用 jwt 身份验证。

我怀疑如果该令牌被盗,那么完整的身份验证被盗?

如果没有到期日会有风险吗?

因为如果我登录我的计算机,那么令牌总是驻留在浏览器的本地存储中,如果有人从我的计算机上窃取了该令牌,他们就可以访问我的帐户。那么如何安全认证呢

请帮助我了解风险及其运作方式。

谢谢

【问题讨论】:

  • 将您的令牌存储在 cookie 中,并在退出时为 cookie 提供过期日期或过期 cookie。

标签: angularjs security authentication jwt


【解决方案1】:

是的,在没有exp(到期时间)声明的情况下,如果您的令牌被盗,您将遇到严重的安全问题。 如果设置了jti(令牌ID)声明,则观众可以缓解这种情况,但需要一个存储(例如数据库和文件系统......),并全部撤销jti

根据OpenID Connect Core Specification,ID 令牌必须有一个expusually no more than a few minutes。 我认为所有使用 JWT 的身份验证提供者都应该遵循这个要求。

【讨论】:

    猜你喜欢
    • 2020-03-18
    • 2020-01-05
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2019-04-16
    • 2019-12-05
    • 2019-02-22
    • 2016-04-24
    相关资源
    最近更新 更多