Wie kann man verhindern, dass Clients andere JWT-Token in .net verwenden?

Question

Ich lese über JWT. Nach ein paar Tagen habe ich die Idee von diesem Konzept. jetzt ist meine Frage über create jwt-Token pro Benutzer, die anderen zu verwenden, um andere Token zu verwenden .

zum Beispiel Szenario: Benutzer Eine Anmeldung am Server und erhalten ihre jwt Token und Server ermöglichen es die Ressourcen zuzugreifen.

jetzt eine dritte Partei kommen und JWT-Token von Benutzer A zu erhalten. Jetzt können Dritte dieses Token verwenden und dieses Token verwenden, um Ressourcen ohne Anmeldung an System zu verwenden.

Wie kann ich JWT-Token räumlich für einen unique Benutzer erstellen?

Answer 1

Der JWT enthält im Feld 'sub' die Benutzerkennung. Es kann nur verwendet werden, um diesen Benutzer

Einmal ausgestellt zu identifizieren, ersetzt das Token die Anmeldeinformationen des Benutzers, so haben Sie ein Token zu verhindern gestohlen werden können und mildern auch seine Auswirkungen:

• Hauptsächlich HTTPS verwenden Man-In-The-Middle
• set eine kurze Verfallszeit und drehen Sie die Token
• entfernen Token an Client-Seite nach dem Abmelden
• Cookies benutzen, um zu vermeiden, zu speichern und setzen Sie Httponly das Risiko des Kunden zu mindern Seitenskript, das auf das geschützte Cookie zugreift
• Pflegen Sie eine Server-Blacklist für nicht akzeptierte Token. Wenn sich der Benutzer beispielsweise abmeldet, ändert er das Kennwort oder aktualisiert die Berechtigungen, auch wenn der Administrator ein Konto entzieht.
• Verwenden Cookies Httponly zu speichern und setzen Sie das Risiko der Client-Seite Skript zu mildern die geschützten Cookie Zugriff