Аутентификация JWT — предотвращение кражи токена JWT
Я делаю полнофункциональное веб-приложение. Мой интерфейс состоит из angular-cli, а мой бэкенд построен из node + express.
Мне удалось получить аутентификацию (читай: зарегистрироваться и войти в систему), работающую с использованием токена JWT. В данный момент этот токен хранится в localStorage. Это позволяет пользователям делиться своим токеном, или токен может быть украден злоумышленниками.
Я использую токен, чтобы запретить/разрешить пользователям следовать определенным маршрутам в моем интерфейсе, а также разрешить определенные вызовы API.
Есть ли способ сделать этот токен JWT более безопасным или мне следует использовать другой маршрут для аутентификации/авторизации?
Заранее спасибо.
Возможный дубликат Что, если JWT украдут?
Ответы 1
Вы можете обновлять токен каждую минуту. Или же вы можете получить личность пользователя и сохранить токен в информации о пользователе.
Ссылка для получения дополнительной информации: https://auth0.com/docs/connections/calling-an-external-idp-api
Хранение токена в localStorage — стандартный способ. Что вы можете сделать, так это обновлять токен чаще, чем обычно. например, обновлять его каждый час или около того.