如何在前端和后端存储 JWT 刷新令牌?

【问题标题】:How to store JWT refresh token on front-end and back-end sides?如何在前端和后端存储 JWT 刷新令牌?
【发布时间】:2019-01-29 23:40:33
【问题描述】:

客户端 - 如果我们将刷新令牌保存在“本地存储”中并且黑客获取了此令牌,他/她将永远可以访问用户帐户(即使刷新令牌已过期,黑客也可以刷新访问权限并刷新令牌)。

服务器端——如果我们在数据库中保存刷新令牌,如何实现多重身份验证。如果我们创建带有字段的表,例如“UserId”、“RefreshToken”、“ExpireDate” 并为单个用户保存多个刷新令牌,是否正确?

您建议将刷新令牌保存在哪里以及为什么? 你的方法是什么?

谢谢

【问题讨论】:

    标签: angular authentication asp.net-core architecture jwt


    【解决方案1】:

    不完全了解您的问题,但您可以尝试查看服务器“Set-Cookie”响应标头。

    这基本上是来自服务器的“请求”,用于在客户端上设置 cookie。 cookie 只能是 HTTP,这意味着 JavaScript 无法访问它。它只是在所有后续请求中自动发送到服务器。以这种方式设置您的 JWT cookie。

    如果您将刷新令牌包装在您的 JWT 中,它将是完全安全的。然后,服务器可以通过解码 JWT 并访问其数据对象来访问相关客户端的刷新令牌。

    不确定这是否能回答您的问题,但可能会让您思考正确的路线。

    【讨论】:

    • 但是有一个问题,正如你所说,我们可以将刷新令牌放在JWT里面,但是如果攻击者访问了访问令牌,我们的服务器会自动刷新它,因为刷新令牌总是可用的甚至来自过期的访问令牌的服务器。对吗?
    猜你喜欢
    • 2020-03-23
    • 2021-02-02
    • 2021-06-18
    • 2021-01-07
    • 2019-10-11
    • 2023-03-31
    • 2016-06-01
    • 2020-09-26
    • 2020-03-13
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode