阅读背景:

ASP.NET Core Web Api之JWT刷新Token(三)

来源:互联网 

前言

如题,本节我们进入JWT最后一节内容,JWT实质上就是从身份认证服务器获得拜访令牌,继而对用户后续可拜访受掩护资源,但是症结问题是:拜访令牌的性命周期到底设置成多久呢?见过一些应用JWT的童鞋会将JWT过期时光设置成很长,有的几个小时,有的一天,有的乃至一个月,这么做固然存在问题,如果被歹意取得拜访令牌,那末可在全部性命周期中应用拜访令牌,也就是说存在冒充用户身份,此时身份认证服务器固然也就是始终信赖该冒牌拜访令牌,若要使得冒牌拜访令牌无效,唯一的计划则是修正密钥,但是如果我们这么做了,则将使得已授与的拜访令牌都将无效,所以更改密钥不是最好计划,我们应当从源头尽可能掌握这个问题,而不是等到问题出现再来想解决之道,刷新令牌闪亮登场。如题,本节我们进入JWT最后一节内容,JWT实质上就是从身份认证服务器获得拜访令牌,继而对用户




你的当前访问异常,请进行认证后继续阅读剩余内容。

分享到: