Ограничение токена JWT

Question

Я аутентифицировал токен JWT, и он находится в хранилище сеансов.

Машина 1 вошла в систему как обычный пользователь Машина 2 вошла в систему как admin

Если я заменила токен jWt машины 1 на машину 2 вхранение сеанса, и если я сделаю еще один вызов API, сервер должен сказать, неавторизованный доступ.

Answer 1

Учитывая ваши конкретные требования, вы можете попробовать обычные вещи, такие как снятие отпечатков в браузере или изменение IP-адреса.Но в ответ вы сказали, что IP-адреса могут быть одинаковыми + снятие отпечатков пальцев очень легко подделать.Для этого я предлагаю вам внедрить вращающиеся токены обновления .Это гарантирует обнаружение кражи токена, если токен используется на двух разных устройствах - фактически, даже на двух разных процессах в одном устройстве!Это, однако, требует тщательной реализации.См. этот блог для получения более подробной информации

Answer 2

В настоящее время лучшая отраслевая практика заключается в реализации пар токенов доступа / обновления.

Вы можете следовать следующим учебным пособиям по его реализации

• ОбновитьТокен с узлом аутентификации JWT js
• Аутентификация Nodejs с использованием JWT и обновление Token

Это значительно снизит вероятность того, что кто-то украдеттокен доступа и попытка его использования на других машинах.