JWT refre sh токен с jjwt - PullRequest
       46

JWT refre sh токен с jjwt

0 голосов
/ 17 апреля 2020

недавно я начал свой проект в SpringBoot и Kotlin, и я хотел создать систему управления пользователями. После нескольких поисков я посмотрел это видео, касающееся реализации токенов JWT для процесса аутентификации.

Кажется, все работает отлично, кроме того, что в настоящее время мне нужно передавать имя пользователя и пароль в каждой аутентификации - это означает, что клиент, вызывающий API, должен либо сохранять его, либо запрашивать его каждый раз.

После просмотра этой статьи кажется, что эта опция 3 на самом деле то, что я ищу. Из того, что я понимаю, процесс аутентификации должен быть следующим:

  • клиент вызывает метод аутентификации
  • 2 возвращаются токены - 1 с коротким периодом, который является аутентификацией токен, и один с более длинным периодом, который позволяет обновлять токен аутентификации.
  • После истечения срока действия токена аутентификации клиент будет обновлять токен с истекшим сроком действия, используя только те токены без исходных данных пользователя.

У меня есть два вопроса на этот счет:

  1. С точки зрения безопасности - что произойдет, если хакер "поймает" эти 2 токена? это в основном означает, что отныне хакер может аутентифицироваться как этот пользователь без каких-либо проблем - не так ли?
  2. Больше или вопрос реализации, насколько я вижу, jjwt не поддерживает эту функциональность (так как Я могу прочитать информацию с токена, пока токен не истек). Из моего поиска я не смог найти что-то, что дает это «из коробки» - есть ли стандарт, чтобы реализовать это функционально?
...