我正在制作一个全栈网络应用程序。我的前端使用angular-cli,后端则由node和express构建。
我通过使用JWT令牌成功实现了身份验证(即注册和登录)。目前,此令牌存储在localStorage中。这使得用户可以共享他们的令牌,或者恶意用户可以窃取该令牌。
我使用这个令牌来防止/允许用户访问我的前端特定路由,并且授权一些api调用。
是否有一种方法可以使这个JWT令牌更加安全,或者我应该遵循不同的身份验证/授权方式?
提前感谢。
1个回答
3
你可以每分钟刷新一次令牌。或者你可以获取用户的身份信息并将令牌存储在用户信息中。
更多信息请参考链接:https://auth0.com/docs/connections/calling-an-external-idp-api。
更多信息请参考链接:https://auth0.com/docs/connections/calling-an-external-idp-api。
- shrikant joshi
1
但是一旦黑客能够访问令牌,他将能够以与第一次窃取原始令牌相同的方式访问刷新令牌。我不确定每分钟刷新令牌如何有所帮助? - kittu
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接