آیا نگهداری JWT Token در Session صحیح است؟
سلام خدمت دوستان
یک پروژه با این شرایط ساختم:
- Service مورد نظر یک API است.
- سیستم احراز هویت هم JWT Token هست.
- Client میتونه یک Web Application و یا Android و یا Windows Application باشه.
سوال: تمام Clientها در ابتدای برنامه احراز هویت می شوند و یک Token دریافت خواهند کرد.
- آیا در نسخه Windows Form یا Android میشه Token را در یک متغیر Static نگهداری کرد و در هر درخواست از اون استفاده کرد؟
- آیا در نسخه Web Application میشه Token هر کاربر را در Session نگهداری کرد تا هر بار این Token ساخته نشه؟ آیا این روش امنیت کافی داره؟
- چطور میشه Session را مدیریت کرد؟ داده های Session تنها یک Key/Value Pair هستند؟
تشکر
نقل قول: آیا نگهداری JWT Token در Session صحیح است؟
توکن که نیازی به ذخیره در سشن نیست
هر سیستمی برای خودش لوکال db داره مرورگر اندروید ویندوز و ...
بر اساس تاریخ انقضا توکن میشه مدیریت کرد که در بکند تنظیم میشود
نقل قول: آیا نگهداری JWT Token در Session صحیح است؟
نقل قول: آیا نگهداری JWT Token در Session صحیح است؟
ذخیره توکن در لوکال استوریج، امنیت رو پایین نمی آورد؟
چون اگر این توکن سرقت شود، هرکلاینت دیگری به داده ها دسترسی خواهد داشت