JWTにユーザーが自動的にログインするように期限切れにするのは効果的ではありませんか?セキュリティ上の問題はありますか?JWT有効期限を決定する際に考慮すべき点は何ですか?
セッションやCookieを使用したくありません。彼らは効果がありません。
JWTにユーザーが自動的にログインするように期限切れにするのは効果的ではありませんか?セキュリティ上の問題はありますか?JWT有効期限を決定する際に考慮すべき点は何ですか?
セッションやCookieを使用したくありません。彼らは効果がありません。
IMO、トークンが盗まれた場合に有効です。満了時間が無限であれば、侵入者は保護されたリソースに一生アクセスできます。それを個人のメールのパスワードと考えてください。定期的にパスワードを変更することをお勧めします。誰かがあなたの知らないうちにパスワードを取得してしまった場合、その後に再びあなたのメールにアクセスすることはできません。 これは、有効期限があることを強制するものではありません。 this
に係る「EXP」(有効期限)クレームは に有効期限を識別またはJWTは、処理のために受け入れてはいけませんた後。 "exp"クレームの処理では、現在の日付/時刻 は、 "exp"クレームに記載されている有効期限日以前でなければなりません。実装者は、クロックスキューを考慮に入れて、わずかな余裕を、通常は 数分以上提供することができます。その値はNumericDate値を含む数字 でなければなりません。このクレームの使用は任意である。
https://stackoverflow.com/questions/47318233/when-jwt-expires-will-the-jwt-stored-in-local-storage-be-removed-automatically –
セッションが必要な場合はセッションクッキーを使用し、JWTを気にしないでください。 – pvg
@pvgセッションやクッキーを使いたくないです。 –
http://cryto.net/~joepie91/blog/2016/06/13/stop-using-jwt-for-sessions/特にセキュリティが懸念される場合は、JWTには他にも多くの問題があります。 – pvg