JWT 彈簧靴 2
[英]JWT spring boot 2
問題描述
嗨,我不知道我是否正確理解它應該如何與刷新令牌一起使用。 我正在創建帶有 angular 的 Spring Boot 后端,並且我想實現 JWT。 目前我在后端工作。 access_token 在 15 分鍾后過期 refresh_token:過期日期 7 天
- 當 angular 發送帶有憑據的請求時,我的 Spring Boot 會生成 jwt 令牌和刷新令牌。 每個刷新令牌和訪問令牌具有不同的秘密(因為如果它們具有相同的秘密,則有人可以使用刷新令牌訪問資源)
- 如果token過期,angular應該訪問端點/refresh_token,在這個端點上發送頭“Authorization”:“Bearer REFRESH_KEY_VALUE”,並獲取新的refresh_token和access_token
1 個解決方案
解決方案1
0 2021-10-21 16:14:54
確保您在此處遵循 RFC 的更多詳細信息:
https://datatracker.ietf.org/doc/html/rfc6749#page-10
還要看看這里的安全威脅和緩解措施 - https://datatracker.ietf.org/doc/html/rfc6750#section-5.1
你所指的是代幣披露
為了防止令牌泄露,必須使用帶有提供機密性和完整性保護的密碼套件的 TLS [RFC5246] 來應用機密性保護。 這就要求客戶端和授權服務器之間的通信交互,以及客戶端和資源服務器之間的交互,都利用保密性和完整性保護。 由於 TLS 是強制實施和使用本規范的必要條件,因此它是防止通過通信通道泄露令牌的首選方法。 對於那些阻止客戶端觀察令牌內容的情況,除了使用 TLS 保護外,還必須應用令牌加密。 作為對令牌泄露的進一步防御,客戶端在向受保護資源發出請求時必須驗證 TLS 證書鏈,包括檢查證書撤銷列表 (CRL) [RFC5280]。
Spring 引導寄存器與 JWT
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.