JWT токенуудын хугацаа хэрхэн дуусдаг вэ?

2024 Зохиолч: Lynn Donovan | [email protected]. Хамгийн сүүлд өөрчлөгдсөн: 2023-12-15 23:50

А JWT токен хэзээ ч хугацаа нь дуусна бол аюултай жетон дараа нь хэн нэгэн хулгайлагдсан чадна хэрэглэгчийн өгөгдөлд үргэлж хандах. -аас иш татав JWT RFC: Хариулт нь ойлгомжтой тул тохируулна уу дуусах хугацаа нэхэмжлэлийн огноог зааж, татгалзаж болно жетон Хэрэв хугацаа дууссан огноо нь одоогийн огнооноос өмнө байвал серверийн талд.

Үүний дагуу JWT токен хэр удаан үргэлжлэх ёстой вэ?

15 минут

Дээрхээс гадна JWT жетоныг хэрхэн хадгалах вэ? А JWT хэрэглэгчийн хөтөч дотор аюулгүй газар хадгалагдах шаардлагатай. Хэрэв чи дэлгүүр Энэ нь localStorage дотор байгаа тул таны хуудасны ямар ч скриптээр хандах боломжтой (энэ нь XSS халдлага нь гадны халдагчдад нэвтрэх боломжийг олгодог тул энэ нь муу сонсогдож байна. жетон ). Битгий дэлгүүр энэ нь орон нутагт хадгалах (эсвэл сесс хадгалах ).

Дээр дурдсанаас гадна би JWT токеныг хүчинтэй хугацаа нь дуусгавар болгох вэ?

Refresh tokens ашиглан JWT-ийн хугацааг албадан дуусгах

1. Хүсэлтийн толгой хэсэгт жетон байгаа эсэхийг шалгана уу.
2. Токен нь хүчинтэй JWT, зөв гарын үсэг зурсан, хугацаа нь дуусаагүй эсэхийг шалгана уу.
3. Ачааллын uid шинж чанараас хэрэглэгч байгаа эсэхийг шалгана уу.
4. rid өмчөөс гаргаж буй сэргээх токен байгаа эсэхийг шалгана уу.

Хандалтын токен болон сэргээх хоёрын ялгаа юу вэ?

The хоорондын ялгаа а токеныг шинэчлэх болон an хандалтын токен үзэгчид нь: the токеныг шинэчлэх зөвхөн зөвшөөрлийн сервер рүү буцдаг хандалтын токен (RS) нөөцийн сервер рүү очно. Сэргээж байна нь хандалтын токен чамд өгөх болно хандалт хэрэглэгчийн нэрийн өмнөөс API-д хандвал хэрэглэгч тэнд байгаа эсэхийг танд хэлэхгүй.