标签: angular laravel authentication jwt
我已经建立了一个项目(前端Angular)和后端(Laravel 5.6),在返回无效凭据错误消息的情况下,我通过后端进行了api调用,以使用JWT登录(用于身份验证),这看起来还可以,但是如果返回了正确的凭证令牌,则必须将其保存在客户端(使用localStorage),然后我复制什么,然后将令牌保存在localstorage中,并尝试从另一台计算机和不同的浏览器登录(两种情况下):用户已登录并重定向到仪表板。
我必须限制用户登录和重定向,如何才能做到我做错了什么?
答案 0 :(得分:0)
这是安全令牌的主要问题之一:如果攻击者拦截了令牌,则可以从其他浏览器或应用程序中使用它。因此,强烈建议将生命周期设置得很短(exp声明)
exp
但希望RFC8471,RFC8472和RFC8473最近获得批准。这些规范允许将令牌绑定到HTTPS或HTTP连接,从而使上述攻击实际上变得不可能。
在撰写本文时,此功能尚未被浏览器广泛采用。 EDGE支持它(草稿版),Firefox或Chrome浏览器没有动静。