有効期限が切れたAutologinの処理

Question

Webアプリケーションがあり、認証トークンとしてJWTを使用しています。トークンは有効です。 1日。ユーザーがその時間内にログインすると、トークンはlocalStorageで更新され、すべて正常です。

その時間内にユーザーがログインしない場合は、ユーザーに1日おきにログインするのを防ぐために何らかの自動ログイン機能を提供する必要があります。

簡単な解決策は、資格情報をlocalStorageに保存することですが、これはあまり安全ではないようです。

この一般的な問題の別の方法はありますか？

Answer 1

セキュリティメカニズムを使用して別のセキュリティメカニズムを更新したいと思うようです。これらが両方とも同じドメインにある場合は、ユースケースに合わせて発行トークンの有効期限を最初に延長することをお勧めします。短命のセカンダリトークンを再発行できるように期限切れでない資格情報を格納すると、安全性が損なわれ、その目的が無効になります。

ただし、別のドメインから1つのトークンが発行された場合は、シングルサインオンのシナリオがさらに広がります。例えば、OpenID Connect has a facility（prompt=none）は、Webサイトでプロバイダの現在のログイン状態をチェックし、ユーザーの介入なしに新しい（短命の）セカンダリトークンを取得します。