我正在开发一个角度应用程序,目前使用cookie和会话进行身份验证。但我想使用jwt身份验证。
我怀疑如果该令牌被盗,则完整的身份验证被盗?
如果没有失效日期则存在风险?
因为如果我在我的计算机上登录,那么令牌总是驻留在浏览器本地存储中,如果有人从我的计算机上窃取了该令牌,他们就可以访问我的帐户。那怎么是安全认证
请帮助我了解风险及其运作方式。
谢谢
答案 0 :(得分:2)
是的,在没有exp(到期时间)索赔的情况下,如果您的令牌被盗,您将遇到严重的安全问题。
如果设置了jti(令牌ID)声明,则可以通过受众减轻这种情况,但需要使用已撤消jti的存储(例如数据库和文件系统...)。
根据OpenID Connect Core Specification,ID令牌必须包含exp usually no more than a few minutes。
我认为所有使用JWT的身份验证提供程序都应遵循此要求。