我担心如何验证访问令牌。 例如。如果User1具有access_token和refresh_token。 User2劫持了User1的登录名和密码,然后输入example.org。如何识别User1的令牌无效
答案 0 :(得分:0)
JWT验证包括JWT应当格式正确,验证签名以及对标准声明(例如exp,aud和范围)的验证。我们可以使用诸如客户端与应用程序服务器之间的相互SSL之类的适当技术来避免凭据/会话劫持,如果仅将凭据共享给另一个用户,则很难避免,在这种情况下,您选择了第二因素身份验证机制,或者加强身份验证过程。