jwt - 使用 JWT 刷新 token 如何安全?

标签 jwt refresh-token

据我了解,

您可以缩短 JWT 访问 token 的生命周期,这样如果有人可以访问它,它就不会工作很长时间。但是,我们不会对 JWT 刷新 token 做同样的事情来增强用户体验。

但现在如果有人可以访问我的 JWT 刷新 token ,那将授予他们访问 protected 资源的权限。那么它如何安全呢?

最佳答案

据我了解你的问题 如果有人可以访问我的 JWT 刷新 token ,这将授予他们访问 protected 资源的权限。那么它是如何安全的呢?

要检查它是否安全,您可以做的是,验证 token 检查其声明,并交叉检查是否是同一个人登录,以绕过一些变量,例如 user-iduser-emailuser-password 当你点击 refresh-token 函数时。如果任何条件失败,您可以返回 Invalid-tokenUnauthorized 并将他踢出。

这是对 the workflow for validating a refresh token and issuing a new bearer token? 的解释

关于jwt - 使用 JWT 刷新 token 如何安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/70379806/

上一篇:google-bigquery - 如何在 BigQuery Standard SQL 中转换多列

下一篇:reactjs - 输入 '{ ' x-access-token' : any; } | { 'x-access-token' ?:未定义; }' is not assignable to type ' AxiosRequestHeaders |不明确的'

相关文章:

error-handling - token 过期时在 graphQL 客户端使用刷新 token

angular - 我需要创建效果,它将在时间间隔内使用刷新 token 刷新访问 token

android - 无法在服务器端使用 Uber 刷新 token 重新生成 Uber 访问 token

c# - IdentityServer4 刷新 token : How to determine expiration time?

c# - IDX10632 : SymmetricSecurityKey. GetKeyedHashAlgorithm( 'HS512') 在使用 HS512 ALGO 验证 JWT 时抛出异常

java - JWT 由 jjwt-java 解析但在 jwt.io 调试器中显示无效

java - JWT认证可以支持多种API吗?

security - 如何保护刷新 token 免受黑客攻击

node.js - 使用express-jwt 仅保护部分路由

asp.net-core - “CspKeyContainerInfo”需要 Windows Cryptographic API (CAPI),此平台上不可用

©2024 IT工具网  联系我们