[英]JWT spring boot 2
嗨,我不知道我是否正確理解它應該如何與刷新令牌一起使用。 我正在創建帶有 angular 的 Spring Boot 后端,並且我想實現 JWT。 目前我在后端工作。 access_token 在 15 分鍾后過期 refresh_token:過期日期 7 天
確保您在此處遵循 RFC 的更多詳細信息:
https://datatracker.ietf.org/doc/html/rfc6749#page-10
還要看看這里的安全威脅和緩解措施 - https://datatracker.ietf.org/doc/html/rfc6750#section-5.1
你所指的是代幣披露
為了防止令牌泄露,必須使用帶有提供機密性和完整性保護的密碼套件的 TLS [RFC5246] 來應用機密性保護。 這就要求客戶端和授權服務器之間的通信交互,以及客戶端和資源服務器之間的交互,都利用保密性和完整性保護。 由於 TLS 是強制實施和使用本規范的必要條件,因此它是防止通過通信通道泄露令牌的首選方法。 對於那些阻止客戶端觀察令牌內容的情況,除了使用 TLS 保護外,還必須應用令牌加密。 作為對令牌泄露的進一步防御,客戶端在向受保護資源發出請求時必須驗證 TLS 證書鏈,包括檢查證書撤銷列表 (CRL) [RFC5280]。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.