当前位置: 首页 > 知识库问答 >
问题:

JWTSpring靴2

邰勇军
2023-03-14

嗨,我不知道我是否理解刷新令牌应该如何工作。我正在用angular创建spring boot后端,我想实现JWT。目前我正在后端工作。访问令牌15分钟后过期刷新令牌:过期日期7天

  1. 当angular发送带有凭据的请求时,我的spring boot将生成jwt令牌和刷新令牌。每个刷新令牌和访问令牌都有不同的秘密(因为如果它们有相同的秘密,则有人可以使用刷新令牌访问资源)
  2. 如果令牌过期,angular应访问endpoint/刷新令牌,在此endpoint上发送标题“授权”:“承载刷新密钥值”,并获取新的刷新令牌和访问令牌

共有1个答案

韩瀚
2023-03-14

请确保您遵循RFC更多关于相同的细节:

https://datatracker.ietf.org/doc/html/rfc6749#page-10

再看看这里的安全威胁和缓解措施——https://datatracker.ietf.org/doc/html/rfc6750#section-5.1

你指的是象征性的披露

为了防止令牌泄露,必须使用TLS[RFC5246]和提供机密性和完整性保护的密码套件应用机密性保护。这要求客户机和授权服务器之间的通信交互,以及客户机和资源服务器之间的交互,利用机密性和完整性保护。由于TLS必须实现并与本规范一起使用,因此它是防止通过通信信道泄露令牌的首选方法。对于阻止客户端观察令牌内容的情况,除了使用TLS保护外,还必须应用令牌加密。作为对令牌泄露的进一步防御,客户端在向受保护资源发出请求时必须验证TLS证书链,包括检查证书吊销列表(CRL)[RFC5280]。

 类似资料:
  • Spring Security配置 你好,我设置antMatchers授权有困难。。它没有发挥应有的作用。只有permitAll有效,denyAll、匿名、hasRole、认证无效。。我试过使用。access(hasRole())但这根本不起作用。。

  • 我想在我的Junit5单元测试中将值注入到带有@Value注释的私有字段。 我引用了这个,并使用了ReflectionTestUtils。setField通过注入值解决了我的问题,但在验证方法被调用的次数时失败。 MyClass(我的类别): 测试类: 运行上述测试时出错 我想kafkaTemplate.sendMessage();被调用一次,但被调用两次后添加反射TestUtils。 需要关于如

  • 我正在用Thymeleaf构建一个Spring Boot应用程序。我的模板(视图)和静态文件夹都在src/main/Resources/静态和src/main/Resources/tem板下。当我通过main方法(使用eclipse)运行应用程序时,一切都很好。但是,我已经按照说明创建了一个war文件,当我将其部署到Tomcat 7时——静态内容丢失了,只显示了Thymeleaf html模板。

  • 我使用spring boot和redis进行缓存。我可以使用缓存从数据库(oracle)获取的数据。当我尝试用redisTemplate从获取数据时,结果是0为什么?? Redis配置:

  • 我需要用mocking道测试服务方法。我还需要测试道方法来知道一个方法是否正确工作。但是我不能将mockito与Spring引导集成。如果我使用第一次测试工作,如果我使用第二次测试工作。我也尝试使用代替,但是它也不工作。

  • 我正在使用Spring boot 2.0.2应用程序通过HTTPS对外部api进行REST api调用。 我是TLS和SSL的新手。我的理解是,TLS是一种更安全的方式,用于传输安全的敏感数据。 我的问题是: 如何确定我的应用程序使用的TLS版本