1
我正在开发一个角度应用程序,该应用程序目前已通过Cookie和会话进行身份验证。但我想使用jwt认证。JWT身份验证到期
而且我有一个疑问,如果该令牌被盗后,完整的认证是偷来的?
而且如果没有到期日是有风险吗?
因为如果我在我的电脑登录,然后令牌始终驻留在浏览器本地存储,如果有人偷了该令牌从我的电脑,他们有访问我的帐户。那么它是如何安全认证
请帮我理解的风险和这种工作方式。
谢谢
A
回答
2
是,在没有exp(过期时间)要求的,如果您的令牌被盗,你将有一个严重的安全问题。 这可以由观众来减轻如果jti(令牌ID)根据权利要求被设置,但必要的存储(例如数据库和文件系统...)与所有撤销jti。
根据OpenID Connect Core Specification,ID令牌必须有exp和usually no more than a few minutes。 我认为所有使用JWT的身份验证提供程序都应遵循此要求。
相关问题
- 1. 实施JWT身份验证
- 2. go-restful + JWT身份验证
- 3. JWT身份验证和用户验证
- 4. ASP .NET Core Identity默认身份验证与JWT身份验证
- 5. 身份验证Cookie到期
- 6. 基本身份验证和JWT
- 7. 移动API的Jhipster Jwt身份验证
- 8. 身份验证:JWT使用与会话
- 9. JWT身份验证和授权
- 10. 设置passport-jwt身份验证
- 11. PHP:基于JWT的身份验证
- 12. jwt服务器端身份验证JsonWebTokenError
- 13. Asp.Net Web API JWT身份验证
- 14. Spring OAuth2和JWT身份验证信息
- 15. 护照JWT&授权与身份验证
- 16. 使用JWT联合身份验证的REST身份验证/授权
- 17. 更改由Knock gem生成的JWT身份验证令牌的到期期限
- 18. jwt - 微型服务中的Django-rest-framework-jwt身份验证
- 19. ServiceStack Jwt身份验证检查是否已通过验证
- 20. ASIHTTP身份验证令牌到期
- 21. ASP.NET窗体身份验证到期
- 22. Windows身份验证到SQL Server身份验证
- 23. 基本身份验证,回退到窗体身份验证
- 24. 将用户身份验证迁移到Firebase身份验证
- 25. OAuth身份验证到EWS
- 26. 身份验证mysql到.net
- 27. ASP.NET身份验证到LDAp
- 28. 新创建的身份验证票证中的到期日期(asp.net表单身份验证)
- 29. 具有JWT和基本身份验证的HttpListener:如何发送WWW身份验证? (Self-Hosted)
- 30. 如何在Spring Boot中使用JWT身份验证实现基本身份验证?
将您的令牌存储在Cookie中,并在退出时为Cookie提供过期日期或过期Cookie。 –