我正在我的网站(jQuery)和服务器端(节点)上实现auth0。
当用户登录 idToken 时,会进一步传递给我的 NodeServer 以使用 checkJWT 进行验证。在验证我正在发布 https:// {AUTH_DOMAIN} / oauth / token 时,正文包含 client_secret,clien_id,audience,grant_type 。作为回应,我得到 Access_token 。 我可以进一步用于获取userDetails或任何其他api。
我想知道用户是否窃取 Access_token 或 idToken 并尝试点击API并且他将能够访问数据。
我该如何管理......? 还是有什么我想念的??
答案 0 :(得分:0)
idToken非常短暂,Access_token也活不长,甚至可能是1天,我不会误会。 因此,如果Man-In-The-Middle无法访问refresh_token,则他只有有限的时间登录系统。