尝试使用JWT实现一种安全的身份验证方法,该方法将用于许多客户端,包括Web(单页面应用程序),桌面,移动设备,我已经提出了这个系统:
虽然有一个小窗口让auth令牌过期但仍然有效,并且调用了数据库;这是使用JWT进行身份验证以及处理密码更改和令牌刷新的整体安全方式吗?
答案 0 :(得分:2)
不要尝试实施自己的身份验证基础结构。您将获得安全实施的机会很小,现在您还必须维护所有代码。
最好使用来自信誉良好的来源的授权服务器,例如Thinktecture IdentityServer或Azure Active Directory,并使用标准库和协议。
我在您的提案中看到的一些问题: