недавно я начал свой проект в SpringBoot и Kotlin, и я хотел создать систему управления пользователями. После нескольких поисков я посмотрел это видео, касающееся реализации токенов JWT для процесса аутентификации.
Кажется, все работает отлично, кроме того, что в настоящее время мне нужно передавать имя пользователя и пароль в каждой аутентификации - это означает, что клиент, вызывающий API, должен либо сохранять его, либо запрашивать его каждый раз.
После просмотра этой статьи кажется, что эта опция 3 на самом деле то, что я ищу. Из того, что я понимаю, процесс аутентификации должен быть следующим:
- клиент вызывает метод аутентификации
- 2 возвращаются токены - 1 с коротким периодом, который является аутентификацией токен, и один с более длинным периодом, который позволяет обновлять токен аутентификации.
- После истечения срока действия токена аутентификации клиент будет обновлять токен с истекшим сроком действия, используя только те токены без исходных данных пользователя.
У меня есть два вопроса на этот счет:
- С точки зрения безопасности - что произойдет, если хакер "поймает" эти 2 токена? это в основном означает, что отныне хакер может аутентифицироваться как этот пользователь без каких-либо проблем - не так ли?
- Больше или вопрос реализации, насколько я вижу,
jjwt не поддерживает эту функциональность (так как Я могу прочитать информацию с токена, пока токен не истек). Из моего поиска я не смог найти что-то, что дает это «из коробки» - есть ли стандарт, чтобы реализовать это функционально?