gpt4 book ai didi

javascript - 可以在 http header 中加倍 jwt token 吗?

转载 作者:可可西里 更新时间:2023-11-01 17:24:49 34 4
gpt4 key购买 nike

我正在使用 jwt 访问和刷新 token 模式。这意味着客户端需要在 header 中发送 2 个 jwt token 。目前,我只是这样做:

'Authorization': 'Bearer ' + user.accessToken + ' ' + user.refreshToken

然后在我的服务器上,我拆分 () 请求授权 header ,因为我知道 [1] 是访问 token 而 [2] 是刷新 token ,然后我有了我的 token 。这种方法在安全方面有什么问题吗?我是 fetching/auth 的新手,知道有一些具体的做法可以遵循,这可能打破了“Bearer”的正常用例,但它有效,所以如果没有任何安全问题,我想使用这个解决方案.我正在自己实现身份验证,不需要与其他人集成,因此不需要 Oauth2。

最佳答案

我正在使用 jwt 访问和刷新 token 模式。 抱歉,事实并非如此。你制作了一个性能不佳、不安全且最终不会给你任何返回的代币混合物。这就是原因。

访问 token 背后的想法是第三方服务可以使用它来授权用户。

刷新 token 背后的想法是用户可以随时发布一对新的访问/刷新 token 。

你做什么:

  1. 您实际上允许任何第三方同时拥有访问 token 和刷新 token ,这意味着如果我是恶意第三方,我可以使用刷新 token 将用户留在我的系统中(通过获取我自己的访问 token 并将其全部更新时间)并永远代表用户行事
  2. 您将双倍大小的 token 附加到 header ,而 JWT 以请求 header 的大小而闻名。因此,只要刷新 token 通常与访问 token 的大小几乎相同,问题就会加倍
  3. 而你一无所获。真正的胜利是什么?

关于javascript - 可以在 http header 中加倍 jwt token 吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/48859828/

34 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com