我基本上在登錄時使用 JWT 令牌在 javacript 中構建身份驗證和授權系統,我存盤在 httponly cookie 中:
- 智威湯遜令牌
- JWT 重繪 令牌
- 用戶資訊(ID、用戶名、電子郵件)
- JWT 過期(從生成后 5 分鐘)
當 JWT 仍然有效時,受保護頁面將對用戶有效性進行遠程檢查(我請求 API 將 userId 和 auth 令牌作為授權持有者傳遞),遠程檢查可能需要一些時間(不到一秒),但每個受保護的頁面在檢查時顯示加載微調器;我想知道假設用戶登錄它有多安全,JWT 仍然有效(或重繪 令牌獲取新的 JWT)并且存在用戶資料的 cookie。不涉及外部請求,除非您需要重繪 JWT
uj5u.com熱心網友回復:
我想知道假設用戶登錄它有多安全 JWT 仍然有效(或重繪 令牌獲取新的 JWT)并且存在用戶資料的 cookie
JWT 不適合作為管理會話的機制。JWT 有自己的過期時間,這與用戶的會話無關。如果您需要管理用戶的會話,只需使用會話機制,并廢棄 JWT。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/439889.html
標籤:javascript 反应 安全 验证 jwt