我正在开发Angular和NodeJS应用程序。 我想设置身份验证服务。
当用户连接到我的应用程序时,服务器会向他发送一个有效期为30分钟的令牌。每当其他令牌过期时,我都会重新生成令牌。
但是有一个问题:如果用户窃取了我的令牌(我不知道怎么做),他可以在我的计算机上恢复我的会话。
该问题如何解决?
谢谢!
答案 0 :(得分:0)
如果有人得到了您的令牌,则服务器将以您的身份考虑。 关键是要保护哪一个:算法或密钥(令牌)。 令牌就像通往建筑物的门户。要进入建筑物,通常必须先注册客户服务,然后切换门禁卡的ID。该访问卡是您的jwt令牌。如果有人偷了门禁卡,他们就可以进入大楼。
现在,您可以像办公大楼一样对身份验证进行建模,它具有多个访问级别。因此,即使令牌以某种方式被盗,它们的访问也受到限制。例如:
也许对于超级管理员来说,您不仅可以使用令牌,还可以验证IP地址或使用其他方法。您可以搜索更多的Google,没有固定的规则,这取决于您希望施加的安全级别。基本就是以上3个