ユーザーが既にJWTトークンを割り当てているかどうかを確認する方法は？

Question

私はJWT（Json Webトークン）を初めて使用しています。 JWTでは、トークン（すでにログインしている）とトークン（最初のログイン）を持つユーザーを特定することについて質問があります。

ログインのたびにユーザー名とパスワードだけを渡してサーバーが私のために新しいJWTを作成するのはそうですか？これが本当である場合には、ユーザのユーザ名パスワードにアクセスして別のPCやブラウザでログインしようとすると、ユーザにとって脆弱になります（JWTは常にクッキーやローカルストレージに保存されます）。

Answer 1

スキーマに従って、攻撃者がユーザーの資格情報（ユーザー名/パスワード）を盗んだ場合、システムにログインして有効なJWTトークンを取得できます。

攻撃者はJWTをストールした場合、また、有効期限前にシステムにログインすることができ、そして（それが利用可能な場合の例パスワード変更のために）提供するサービスを利用

、セキュリティの質問です：は、資格情報を保護しますトークンを保護します。

• は、主に短期HTTPS
• セットの有効期限を使用して、トークンの
• 使用「安全な」ストレージ
• がパスワードの変更または許可は有効期限の前にトークンを無効にする可能性があることに注意してくださいトークンを回転させます。たぶんあなたはブラックリストが必要です