我为内部用户提供了一个封闭的网站。我已经阅读了很多有关JTI保护和黑名单实现的信息,但是我对此表示怀疑。
首先,我认为JTI实现不适用于异步Angular调用,因为如果客户端调用2 API REST,则第一个会使令牌无效,而第二个将使令牌无效。 ¿我如何执行此过程? ¿仅当客户端刷新令牌时,才能生成下一个JTI吗?
如果我不使用JTI令牌,什么时候刷新令牌更好?过期日期到期后还是之前?如果我选择令牌过期后,是否需要将令牌保存在黑名单中?如果第三人盗窃了令牌,可以对其进行刷新。
如果我没有实现JTI +黑名单或黑名单,但是我使用HTTPS,我知道不可能窃取令牌吗?有些页面没有黑名单保护系统?
谢谢。