程序员经验分享-hwhale

使用 JWT 刷新令牌如何安全?

2024-03-27

据我了解,

您可以缩短 JWT 访问令牌的生命周期,这样如果有人可以访问它,它就不会长期工作。但是,我们不会对 JWT 刷新令牌执行相同的操作来增强用户体验。

但现在,如果有人可以访问我的 JWT 刷新令牌,这将授予他们访问受保护资源的权限。那么它如何安全呢?


据我了解你的问题if someone has access to my JWT Refresh Token, that would grant them access to the protected resources. So how is it secure then?

要检查它是否安全,您可以做的是,验证令牌检查其声明,并交叉检查是否是同一个人,以绕过某些变量,例如user-id or user-email and user-password当你击中refresh-token功能。如果任何条件不满足你可以然后你可以返回Invalid-token or Unauthorized并把他踢出去。

这是一个解释验证刷新令牌和颁发新的不记名令牌的工作流程? https://stackoverflow.com/a/50548272/8287839

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

JWT

RefreshToken

使用 JWT 刷新令牌如何安全? 的相关文章

  • 解码 Jwt 令牌 React

    我使用 jsonwebtoken 来解码我的令牌以查看它是否已过期 但是 console log 返回 null var token response headers authorization token token replace Be

  • 不带重定向的不记名令牌 WEB API asp.net core

    我是 ASP NET Core 的新手 我正在尝试使用来自 Google Facebook 的 jwt 身份验证和 OpenOauth 制作一个小型 Web 服务 我读过这篇文章 https stormpath com blog token

  • jwt 令牌过期后如何注销

    我正在开发一个网络应用程序 使用node js and vue js 我正在使用进行身份验证和维护会话jwt and passport js using passport jwtstrategy 我已经完成了从创建 jwt 到保护路由的所有

  • 使用 IdentityServer 承载的 SignalR 将不会从 Hub 接收任何 JWTBearerEvents

    我们有一个 api net core 2 2 它使用IdentityServerAuthenticationDefaults AuthenticationScheme对于所有工作正常的控制器 我们现在决定添加 SignalR Hub 以提供

  • 如果用户登录,Angular 6 会更改组件

    使用基于 JWT 的实现和 Angular 6 根据用户是否登录隐藏 显示组件的最佳方法是什么 如果有一个包含用户相关信息的 Observable 用户对象就好了 这个需要守卫吗 后端使用 NET Core 2 1 不确定这是否有什么区别

  • OAuth 授权码何时到期?

    我知道 在 OAuth 中使用授权代码 授权代码 时 访问令牌的生命周期应该很短 但刷新令牌的生命周期可以很长 所以我为我的项目决定 访问令牌生命周期 1 天 刷新令牌生命周期 30 天 但授权码的典型生命周期是多长 我认为它应该非常非常短

  • NET Core 3.1 MVC 授权/身份验证,使用在单独的 Net Core 3.1 Web Api 中从外部获取的令牌 (JWT)

    我有3个项目 Net Core 3 1 MVC 项目 使用 JWT 身份验证的 Net Core 3 1 Web Api 项目 gt 通过实体框架连接到数据库 Xamarin 应用程序还使用 Web API 进行身份验证和数据检索 我不想从

  • express-jwt 不尊重未受保护的路径

    有关express jwt模块的信息可以在这里找到 https github com auth0 express jwt https github com auth0 express jwt https www npmjs com pack

  • 使用客户端指纹对 JWT 令牌进行编码?

    我想知道是否会是最佳实践使用客户端指纹作为 JWT 秘密进行编码 然而 我在 WWW 上找不到有关这个问题的任何内容 但到目前为止 我这样做是有意义的 我正在考虑使用 JavaScript 生成指纹客户端 并在每次调用时将其发送到 API

  • 服务器端处理 JWT 令牌的最佳实践[关闭]

    Closed 这个问题是基于意见的 help closed questions 目前不接受答案 产生自这个线程 https stackoverflow com questions 30494383 using jwt with active

  • 将 Zapier 自定义请求 Webhook 与 JSON Web 令牌结合使用

    我需要访问使用 JSON Web 令牌作为身份验证方法的 API 有没有一种好方法可以使用 python 代码步骤创建此令牌 然后将该令牌作为标头添加到自定义请求 Webhook 步骤中 我使用 API 进行身份验证的经验是使用简单的API

  • ASP .NET CORE 2.2 JWT 和声明网站身份验证

    我有一个 net core 2 2 api 它 在成功登录时 生成一个 JWT 令牌 其中包含一个声明身份 该身份传递经过身份验证的用户的用户名 权限和角色等信息 在我的 net core 2 2 中 Web 应用程序我有一个登录机制 可以

  • 混合命名和未命名函数参数

    我有这个功能来验证 JWT 令牌 不是中间件 它说 package main import net http log fmt github com dgrijalva jwt go func ValidateToken w http Res

  • Firebase JWT:签名验证失败

    我尝试在 Firebase 中使用 JWT 身份验证 但总是收到此错误 致命错误 未捕获的 Firebase JWT SignatureInvalidException 签名验证失败 代码是这样的 key test tokenId base

  • 如何使用不同用户表的多重身份验证注销 JWT 令牌

    这是 config auth php 中的代码 guards gt web gt driver gt session provider gt users api gt driver gt jwt provider gt users hash

  • Websocket、Angular 2 和 JSON Web 令牌身份验证

    我的 Angular 2 应用程序 用打字稿编码 有一个简单的身份验证方案 用户登录 服务器返回 JSON Web 令牌 JWT abc123 在每次 API 调用时 应用程序都会将 JWT 发送到Authorization header

  • 用于 Java 的 JWT(JSON Web Token)库 [关闭]

    Closed 这个问题正在寻求书籍 工具 软件库等的推荐 不满足堆栈溢出指南 help closed questions 目前不接受答案 我正在开发一个使用 Java 和 AngularJS 开发的 Web 应用程序 并选择实现令牌身份验证

  • 无法使用 RS256 验证 JWT - 算法无效

    我正在尝试将 JWT Auth 从秘密短语移至 RS256 这是示例代码 import fs from fs import jwt from jsonwebtoken const private key fs readFileSync pr

  • 使用 JWT 缺少授权标头

    我正在尝试设置 JSON Web 令牌以从移动应用程序与我的 php 后端进行通信 我可以请求一个令牌就好了 当我需要验证它 或向另一个端点发出请求 时 我使用以下格式设置授权标头 Bearer

  • 如何在没有身份验证的情况下打开我的应用程序 j hipster

    我创建了名为 Bookstore 的 j hipster 应用程序 运行我的应用程序后 它将进行身份验证 我不需要此身份验证 是否有任何方法可以在没有 j hipster 登录页面的情况下打开我的应用程序 在路径 app config 中有

随机推荐

热门标签