JWT的iat和exp值应该是多少?
我正在使用一个API,它声明在每个请求的授权标头中使用JWT,并表示exp和iat不是可选的。如何确定应该为iat和exp使用哪些值?有关系吗?是什么阻止了我把时间设定在遥远的过去,并把时间设定在我喜欢的任何地方?
RFC7519说的是iat
“iat”(于发布)索赔确定了JWT发布的时间。该声明可用于确定JWT的年龄。其值必须是包含NumericDate值的数字。此声明的使用是可选的。
和exp
“exp”(到期时间)声明标识了到期时间,在此日期或之后不得接受JWT进行处理。“exp”索赔的处理要求当前日期/时间必须早于“exp”索赔中列出的到期日期/时间。
共有1个答案
我想我会回答这个问题,以防别人遇到一些模糊的留档来指定这个。
事实上,在为服务器提供公钥之后,我需要创建JWT。在我的每个请求中,我将创建头、有效负载和签名,并将其作为授权发送。
简而言之,我可以将iss和exp设置为我想要的任何值:在服务器端没有任何方法来验证这一点。为了安全起见,不设置它以使令牌不会使用荒谬的exp值过期的唯一原因是。
-
问题内容: 我正在尝试像这样安装doozer: 我得到这些错误。 问题答案: 在文档中进行了讨论: 在环境变量列表地方寻找Go代码。在Unix上,该值是用冒号分隔的字符串。在Windows上,该值为分号分隔的字符串。在计划9中,该值是一个列表。 必须设置为获取,构建和安装标准Go树之外的软件包。 在安装说明中讨论: Go二进制发行版假定它们将安装在(或Windows下),但是可以将Go工具安装到其
-
我从数据库中检索到的数据生成一个令牌,它没有exp和iat字段,因此它不检查过期时间,并且总是验证令牌。还有当我在jwt上解码令牌时。io显示无效令牌。你能告诉我解决这个问题的方法吗?这是我的代码
-
问题内容: 这是以下程序的输出。 我的问题是,ε值应该是多少? 是否有任何可靠的方法来获取值,而不是从天而降。 问题答案: 您第二个问题的答案是否定的。有限机器精度误差的大小可以任意大: 这给出,但是如果您增加,则可能会得到所需的几乎任何级别的错误。 关于如何编写数值稳定算法,过去和现在都有大量研究。这是一个难题。
-
我使用ADAL库获取资源的访问令牌。有人知道过期时间是什么格式吗?更具体地说。 类只在解析后返回int32。所以,这不是一个好的指标。 尝试将其解析为和,但这些值相隔不到90分钟。几乎是一样的。 这是我从fiddler获得的和声明(用于https://jwt.io/解析令牌) :1475874457 :1475878357 价值观没有那么大的差异。
-
我正在使用Okta设置一个SP启动的SAML2.0应用程序,我不确定中继状态值和受众URI应该是什么。 我的SP URL-<代码>https://sampleapp.company.com/appname/default.aspx 我的SAML ACS URL-<代码>https://sampleapp.company.com/appname/SAML/authenticate.aspx
-
为了使用JWT保护REST API,根据一些材料(如本指南和本问题),JWT可以存储在本地存储或Cookies中。根据我的理解: localStorage受XSS限制,通常不建议在其中存储任何敏感信息 对于cookie,我们可以应用“httpOnly”标志,以降低XSS的风险。然而,如果我们要从后端的Cookies中读取JWT,那么我们将受到CSRF的约束 因此,基于上述前提,最好将JWT存储在C