JWT 令牌和刷新令牌的合理到期日期是啥?
Posted
技术标签:
【中文标题】JWT 令牌和刷新令牌的合理到期日期是啥?【英文标题】:What are resonable expiration dates for JWT token and refresh token?JWT 令牌和刷新令牌的合理到期日期是什么? 【发布时间】:2021-12-21 18:11:18 【问题描述】:我想知道 JWT 令牌和刷新令牌的合理价值是多少?我读过令牌应该有一个短暂的到期时间,大约 10-15 分钟。但是刷新令牌可以长达7天?是什么让它如此安全,可以长期有效?
【问题讨论】:
【参考方案1】:刷新令牌是一个非常敏感的令牌,您应该妥善保护它,就像黑客掌握了它一样,他可以在相当长的一段时间内使用它来创建新的访问令牌。
所以,是的,您需要注意客户端应用程序并以安全的方式存储它。可能是加密的?
如今,许多授权提供者都支持一次性刷新令牌,这意味着您只能使用一次刷新令牌,并且在使用它时,您将获得一个新的刷新令牌。如果有人会使用令牌两次,比如你和黑客。然后你就无法获取令牌了。
见https://leastprivilege.com/2020/01/21/hardening-refresh-tokens/
【讨论】:
以上是关于JWT 令牌和刷新令牌的合理到期日期是啥?的主要内容,如果未能解决你的问题,请参考以下文章