JWT:在过期后一分钟或更短时间内将新令牌传递给客户端。是坏主意还是好主意?
JWT(JSON Web Token)是一种用于在网络应用间传递信息的安全方式。它由三部分组成:头部、载荷和签名。头部包含了令牌的类型和加密算法,载荷包含了需要传递的信息,签名用于验证令牌的真实性。
在过期后一分钟或更短时间内将新令牌传递给客户端是一个相对较好的主意。以下是详细解释:
好主意:
- 安全性:JWT的过期时间是为了保证令牌的安全性。如果令牌在过期后一分钟或更短时间内被更新,可以减少令牌被恶意利用的风险。
- 用户体验:通过在令牌过期前更新令牌,可以确保用户在使用应用时不会因为令牌过期而被迫重新登录或重新验证身份,提供了更好的用户体验。
坏主意:
- 令牌滥用:如果过于频繁地更新令牌,可能会导致令牌被滥用。攻击者可以通过不断更新令牌来绕过一些安全措施,增加了令牌被盗用的风险。
- 服务器负载:频繁地更新令牌可能会增加服务器的负载,特别是在高并发的情况下。服务器需要处理大量的令牌更新请求,可能会影响应用的性能。
综上所述,将新令牌传递给客户端在过期后一分钟或更短时间内是一个相对较好的主意,可以提高安全性和用户体验。然而,需要注意令牌滥用和服务器负载的问题,并根据具体情况进行权衡和调整。
腾讯云相关产品和产品介绍链接地址: 腾讯云提供了多个与身份验证和安全相关的产品,以下是其中一些产品的介绍链接:
- 腾讯云身份认证服务(CAM):https://cloud.tencent.com/product/cam
- 腾讯云访问管理(TAM):https://cloud.tencent.com/product/tam
- 腾讯云密钥管理系统(KMS):https://cloud.tencent.com/product/kms
- 腾讯云安全加密服务(SES):https://cloud.tencent.com/product/ses 请注意,以上链接仅供参考,具体产品选择应根据实际需求进行评估和决策。
相关·内容
1回答
对话的updateToken不工作(不解析) Javascript SDK
node.js、twilio
我的目标是,在Twilio令牌到期后,通过Client.updateToken使用更新的令牌更新我的本地会话客户端。conversations Client.updateToken返回了一个从未解决的承诺:https://gist.github.com/danscan/85b188bf7a3f0a095f12937ccb2082e3 为了将演示压缩到合理的时间内,我将Twilio令牌</
浏览 19提问于2021-06-23得票数 1
2回答
JWT:在过期后一分钟或更短时间内将新令牌传递给客户端。是坏主意还是好主意?
javascript、node.js、express、jwt
在我的后端,我检查离JWT过期还有多长时间(15分钟)。如果是一分钟或更短的时间,我将创建一个新的响应,并将其附加到setToken标头中的响应。然后,前端将存储并使用新的。这是一种好的方法吗?
浏览 18提问于2019-03-02得票数 1
1回答
auth w/刷新和访问令牌的安全性和最佳实践
authentication、oauth、jwt、access-token、refresh-token
将用户名和密码发送给endpoint.Endpoint的用户登录将创建一个过期时间为1个月的刷新令牌,并将哈希刷新令牌存储在与用户ID相对应的Db中。code>User访问需要授权的REST端点,方法是在headers.Endpoint中设置访问令牌,检查访问令牌JWT是否由服务器秘密key.Endpoint签名,访问令牌JWT是否过期。如果端点返回未经授权
浏览 5提问于2022-05-24得票数 2
3回答
注销Django Rest框架JWT
django、django-rest-framework、jwt、session-state、django-rest-framework-jwt
我想问一下,当我使用JWT时注销是不是一个好主意。要登录,我发送一个带有用户名和密码的post请求,以获取所需的令牌(保存到localStorage中),这将允许我向需要令牌的视图发送进一步的请求。我可以清除localStorage,但令牌仍然可用。
因此,我想问我是否应该使用刷新令牌,因为我不能禁用它。
浏览 0提问于2018-09-21得票数 15
回答已采纳
1回答
这种基于JWT的身份验证方法安全吗?
authentication、authorization、token、jwt
试图为许多客户端(包括web (单页应用程序)、桌面和移动应用程序)使用的API实现一种安全的身份验证方法--我已经想出了这个系统:
刷新令牌也被发送,并使用用户的密码进行验证。如果刷新<e
浏览 8提问于2015-12-17得票数 0
回答已采纳
1回答
关于JWT实现的几点思考
authentication、web-application、authorization、jwt
因此,我一直试图尽可能多地了解JWT令牌化,而auth0似乎是事实上的JWT信息中心。这些细节经过验证,并创建了一个令牌,其中包含:"iat“在"exp”到期30分钟前发出的“iat”原始创建时间。如果发现存在JWT,则创建自己的JWT
浏览 0提问于2016-04-08得票数 4
1回答
使用卫报创建电子邮件验证url
elixir、jwt、phoenix-framework、email-verification
我想我可以利用卫报中的函数来使用JWT令牌生成url。按照的说法,这似乎是一个合理的解决方案(只要url使用https,并且令牌在相对较短的时间内过期)。下面是我到目前为止编写的代码: if ( user.email !Guardian.encode_and_sign(user, :email_verification, claims)
Zoinks.
浏览 3提问于2016-09-12得票数 3
回答已采纳
如果会话到期,我们将重定向用户登录。(当用户/浏览器与web应用程序交互时,过期时间将被延长)但看起来它并不关心用户是否在与网络应用程序交互。因此,只要刷新令牌是活的,浏览器总是可以得到一个新的短命JWT。
因此,问题
浏览 5提问于2016-07-27得票数 4
回答已采纳
2回答
访问/刷新令牌混淆
node.js、express、authentication、jwt
客户端的则存储令牌(据我理解,该令牌是否更安全),并将其与每个请求的头部一起发送。然后,服务器可以通过验证JWT来授权用户中间件。没有状态,包含在JWT.中的所有信息。假设JWT没有过期(或者可能是很长的到期日期,可能是几个月),这听起来不错,因为我可以为用户提供一个长时间的持久登录状态。据我所知,我担心的是,如果JWT被偷,它本质上是一张无限制的出入卡,是一个巨
浏览 6提问于2021-06-27得票数 0
1回答
在成员-cli-海市蜃楼(或任何JavaScript)中生成jwt auth令牌,以便在您的内存应用程序中使用。
javascript、ember.js、jwt、ember-cli-mirage、django-rest-framework-jwt
这是一个很好的API解决方案,但是我们的海市蜃楼用户在一段时间后就被注销了,无法登录到我们的应用程序中(用于测试、开发)。我将问题追溯到jwt的工作方式,以及我在海市蜃楼配置/login端点中粘贴了静态jwt令牌的事实。
jwt或JSON令牌包含在服务器上设置的过期日期。一旦过期日期过去,客户端将无法再进入应用程序,直到服务器发送一个带
浏览 6提问于2020-01-16得票数 1
1回答
使用JWT的正确方法是什么?
jwt、session-cookies、xss、csrf、access-token
您应该在头文件中的所有请求中发送JWT令牌,但是如果这个令牌被窃取,窃贼可以使用它永远进行身份验证。刷新令牌诞生了:现在我们可以将JWT与cookie概念混合起来。刷新<e
浏览 3提问于2020-07-13得票数 2
回答已采纳
3回答
使用JWT和刷新令牌验证移动应用程序
ruby-on-rails、authentication、oauth-2.0、jwt、json-web-token
在客户端登录到设备上之后,我发布了一个短期过期的JWT。因此,如果令牌过期,客户端需要重新登录,在我的情况下,这是不可接受的UX。还是我让事情变得过于复杂,分配一个刷新令牌(可以在alle设备上使用)就可以做到这一点?
更新:我查看了门卫gem,它支持密码授予流。但是门卫处理令牌的方式是,它用相应的刷新令牌将每个生成的访问<em
浏览 3提问于2015-11-13得票数 2
2回答
Android应用程序会话+ JWT在api中的良好实践?
android、api、session、jwt
我想让用户登录到应用程序,直到它注销或重新安装应用程序等。但我也想用JWT来保护API,这个API将在一个小时内过期。
我的想法是,在成功登录后将用户名保存在应用程序存储中,并保留最后一个JWT。然后,当应用程序打开时,它将与API通信,即使JWT过期但“有效”,它也会重新发出新的令牌。但这是安全的解决方案吗?还是有更好的解决办法?
浏览 2提问于2020-01-26得票数 1
回答已采纳
1回答
使用.NET核心标识和需要刷新令牌
asp.net-identity、identityserver4
我刚从一家新公司开始,负责在.NET/ tasked应用程序上修复我们当前的身份验证过程。目前,我们使用.NEt核心标识进行登录,登录令牌在24小时后过期。我的任务是更改auth : 1)每次用户发送请求时检查令牌(我认为通过使用JWT刷新令牌),2)令牌应该在20分钟的不活动后过期,并提示用户再次登录。
所有这些都能通过身份服务器完成吗?
浏览 1提问于2020-01-17得票数 0
回答已采纳
1回答
在使用JWT令牌时,我应该如何处理RESTful身份验证?
node.js、rest、express、jwt、restful-authentication
(我知道我必须保护它不受csrf攻击)
我希望用户即使在打开一个新的会话之后也能继续登录,因此在令牌过期或关闭浏览器后不需要登录。
如果访问令牌过期了,应该发生什么?在访问令牌过期的<e
浏览 0提问于2019-04-09得票数 1
回答已采纳
3回答
在使用JWT令牌身份验证时,是否真的需要刷新令牌?
authentication、oauth-2.0、jwt、access-token、http-token-authentication
我引用了另一篇关于如何使用JWT刷新令牌的文章。
我希望我的JWT身份验证具有以下属性:
如果我要使用刷新令牌</em
浏览 9提问于2015-08-17得票数 91
1回答
基于JWT和CSRF保护的SPA REST认证
authentication、cookies、csrf、rest、jwt
信息将包含用户名和密码。成功登录后,将发出一个签名的JWT令牌。此令牌将用于后续访问REST。如果年龄在截止日期内(不足8小时),则将生成更新的令牌,其中包含新的过期时间,持续30分钟。在时间上发出的将保持原状不变。攻击者需要在少于令牌过期<
浏览 0提问于2017-02-21得票数 16
3回答
如何在过期后刷新JWT令牌(角1.5 + Laravel 5.2)
angularjs、laravel-5、jwt、satellizer
用角前端和RESTful后端使用基于JWT令牌的身份验证( api)的最佳和最安全的方法是什么?提前谢谢。
浏览 3提问于2016-06-10得票数 0
回答已采纳
1回答
如何读取已过期的JWT令牌
c#、asp.net-core、jwt、asp.net-core-webapi
我在我的ASP.NET Core2WebAPI项目中使用JWT令牌
我的前端web客户端发送一个JWT令牌,它最初是从Web登录API获得的,每个请求都正常工作。不过,我还有一个离线客户端,它使用相同的API,最初在线登录,然后存储JWT脱机,只有在用户同步应用程序时才发送它,这可能会在一周后。令牌可能已经过期,或者服务器web应用程序在规定的时间内</e
浏览 0提问于2018-02-09得票数 3
2回答
在基于令牌的认证中使用刷新令牌是安全的吗?
security、token、access-token、jwt、http-token-authentication
我正在构建一个基于令牌的身份验证(使用带角客户端的Node.js/JWT)。
用户输入他的凭据后,他将获得一个访问令牌,并在报头内部的每个请求中发送该令牌(标头:承载令牌)。刷新令牌永不过期(或很少过期),并且能够更新访问令牌即将过期的令牌,客户端可以通过发送刷新令牌发送更新请求来获
浏览 2提问于2014-12-08得票数 6
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频活动推荐
腾讯云开发者
