我已经验证了JWT令牌,并且该令牌位于会话存储区中。
机器1以普通用户身份登录 机器2以管理员身份登录
如果我将计算机1的jwt令牌替换为会话存储中的计算机2,并且如果我进一步进行api调用,则服务器应显示未授权访问。
答案 0 :(得分:2)
目前行业的最佳实践是实现访问/刷新令牌对。
您可以按照以下有关如何实现它的教程
这将大大减少有人窃取访问令牌并尝试在其他计算机上使用它的可能性。
答案 1 :(得分:0)
鉴于您的特定要求,您可以尝试使用浏览器指纹识别或IP地址更改的常用方法。但是在回答中,您说IP地址可以相同+指纹很容易被欺骗。为此,我建议您实现rotating refresh tokens。如果在两个不同的设备上使用令牌,这将保证检测到令牌被盗-实际上,即使在同一设备中使用了两个不同的进程!但是,这需要仔细实施。有关更多详细信息,请参见this blog