JWT проверил даже токен, используемый в другом браузере

Question

У меня есть проект, настроенный (Frontend Angular) и Backend (Laravel 5.6), я сделал вызов API для backend для входа в систему с использованием JWT (для аутентификации) в случае, если было возвращено сообщение об ошибке недопустимых crdentials. Это кажется нормальным, нов случае правильных учетных данных возвращается токен, который должен был быть сохранен на стороне клиента (с использованием localStorage). Что я копирую, затем токен сохраняется в localstorage и пытается войти в систему с другого компьютера и из другого браузера, а также из обоих случаев пользователь вошел в систему и был перенаправлен наПанель инструментов.

Я должен ограничить пользователя, чтобы войти и перенаправить Как я могу добиться этого, я делаю что-то не так?

Answer 1

Это одна из основных проблем с токенами безопасности: если злоумышленник перехватывает токен, он может использовать его из другого браузера или приложения.Вот почему настоятельно рекомендуется установить очень короткий срок службы (exp претензия)

Но, надеюсь, RFC8471 , RFC8472 и RFC8473 недавно были утверждены.Эти спецификации позволяют привязать токен к соединению HTTPS или HTTP, что делает описанную выше атаку практически невозможной.

На момент написания этой функции браузеры не получили широкого распространения. EDGE поддерживает его (черновая версия), нет хода для Firefox или Chrome.