Ich lese über JWT. Nach ein paar Tagen habe ich die Idee von diesem Konzept. jetzt ist meine Frage über create jwt-Token pro Benutzer, die anderen zu verwenden, um andere Token zu verwenden .Wie kann man verhindern, dass Clients andere JWT-Token in .net verwenden?
zum Beispiel Szenario: Benutzer Eine Anmeldung am Server und erhalten ihre jwt Token und Server ermöglichen es die Ressourcen zuzugreifen.
jetzt eine dritte Partei kommen und JWT-Token von Benutzer A zu erhalten. Jetzt können Dritte dieses Token verwenden und dieses Token verwenden, um Ressourcen ohne Anmeldung an System zu verwenden.
Wie kann ich JWT-Token räumlich für einen unique Benutzer erstellen?
i über Verfahren wie Drehen Token schwarze Liste ein Server gehört, .... und meiner Meinung nach diejenigen, brechen die JWT Hauptautorisierung ohne Datenbankzugriff und Staatenlosigkeit von JWT –
Ich stimme zu, dass die Pflege einer Blacklist bedeutet, den Zustand zu kennen und in irgendeiner Weise "zustandslos" zu brechen. Alternativ ist es möglich, im Token selbst einen Hash zu erstellen, der das Passwort und/oder die Berechtigungen enthält und jede Anfrage eincheckt (Zugriff auf die Datenbank ...). Werfen Sie einen Blick auf http://stackoverflow.com/questions/21978658/invalidating-json-web-tokens. Drehen Sie die Token mit kurzer Ablaufzeit ist eine Sicherheitsmaßnahme. Ein gestohlener Token hätte eine kurze Wirkung. Sie können sich abhängig von den Anforderungen Ihrer Website bewerben oder nicht – pedrofb