169 похожих чатов

Question about authentication by #JWT: 1- My client get loggin and

I generate a token for him/her and store the token in localstorage. No If somebody else copy this token from locanstorage of this person browser and paset in his/her (I mean hacker) browser local storage, this hacker will be logged in? If yes soe is that safe?

2- I put user Id in the token that I generated On login function. On each reuest that is sending to backend I shuld check the JWT token. I should decode token and find userId in it. Now I should I compar this user id by anything? Example checking that is there any session by this user ID in backend or even checking the user Id by DB?

3- should I put an expirattion time for jwt token on local store?

3 ответов

16 просмотров

1. A program's security model can not encompass every possible scenario. To copy jwt tokens from created by some website, You'll need, 1. Physical Access to device or 2. exploit some sort of vulnerability on the website that'll allow arbitrary js script execution. If someone gets physical access to a device then most security models fail so there is nothing you can do about it. Https will prevent second scenario from happening.

2. You can embed user ID in jwt token. When the handler recieves request, You can try decrypting the jwt token. If the decryption succeeds, You know the token was generated with your credentials and is legit otherwise you can return a 400 response.

yes that's your preference but I suggest setting an expiration date of 7-15 days.

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта