У меня есть закрытый сайт для внутренних пользователей. Я много читал о защите JTI и реализации черного списка, но у меня есть сомнения.
Во-первых, я думаю, что реализация JTI не работает с асинхронными угловыми вызовами, потому что, если клиент вызывает 2 API REST, первый делает токен недействительным, а второй - недействительным. ¿Как я могу реализовать этот процесс? ¿Может ли генерировать следующий JTI, только когда клиент обновит токен?
Если я не использую токен JTI, когда лучше обновить токен? После истечения срока годности истекает или только раньше? Если я выберу после истечения срока действия токена, мне нужно сохранить токен в черном списке нет? Если третье лицо украдет токен, может обновить его.
Если я не реализую ни черный, ни черный списки JTI +, но использую HTTPS, я понимаю, что украсть токен невозможно? Есть страницы без системы защиты черного списка?
Спасибо.