reactjs - 使用 JWT 和 axios 保持用户登录的最佳方法
问题描述
如何在反应应用程序中保持用户始终登录。我无法使用过期的令牌刷新令牌,可以吗?我的想法是使令牌过期为空并在每次请求安全时刷新它,因此如果用户有一段时间不使用该应用程序,令牌将永远不会过期,并且在每个请求中令牌都会被刷新以确保安全
解决方案
这样做并不安全。因为现在只要用户没有新请求,令牌仍然有效。永不过期的令牌延长了跨站点请求伪造 (CSRF)、会话劫持和会话固定等攻击的时间范围。另外,如果您想更改此行为,则需要从后端而不是 react.js 端进行更改
推荐阅读
- java - NewPooledConnection 泄漏
- c# - 限制对文件夹中文件的 URL 访问 - Azure 上的 ASP.NET MVC
- api - 如何在 Flutter 中将图像从 API 设置为轮播
- c# - 字符串未被识别为有效的日期时间,2019 年 7 月 11 日
- r - 如何按 ID 对行进行分组并计算平均值和 IQR
- node.js - 为项目创建 .env 文件的正确方法
- javascript - 在另一个二维数组中复制洗牌数组的问题
- clojure - 非常简单的练习程序不会编译
- python - 网页抓取 - 无输出
- ms-access - On Got Focus vbNo 撤消选项按钮适用于点击,但不是箭头