据我了解,
您可以缩短 JWT 访问 token 的生命周期,这样如果有人可以访问它,它就不会工作很长时间。但是,我们不会对 JWT 刷新 token 做同样的事情来增强用户体验。
但现在如果有人可以访问我的 JWT 刷新 token ,那将授予他们访问 protected 资源的权限。那么它如何安全呢?
最佳答案
据我了解你的问题
如果有人可以访问我的 JWT 刷新 token ,这将授予他们访问 protected 资源的权限。那么它是如何安全的呢?
要检查它是否安全,您可以做的是,验证 token 检查其声明,并交叉检查是否是同一个人登录,以绕过一些变量,例如 user-id
或 user-email
和 user-password
当你点击 refresh-token
函数时。如果任何条件失败,您可以返回 Invalid-token
或 Unauthorized
并将他踢出。
这是对 the workflow for validating a refresh token and issuing a new bearer token? 的解释
关于jwt - 使用 JWT 刷新 token 如何安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/70379806/