JWT認証の有効期限

Question

現在、Cookieとセッションで認証されている角度アプリを開発中です。しかし、私はjwt認証を使いたいです。

そして、そのトークンが盗まれた場合、完全な認証が盗まれるのではないかと疑いがありますか？

有効期限がない場合、リスクはありますか？

私のコンピュータにログインすると、トークンは常にブラウザのローカルストレージに保存され、誰かが自分のコンピュータからそのトークンを盗むと、自分のアカウントにアクセスできます。それでは、どのように安全な認証ですか？

リスクとその仕組みを理解してください。

はい、exp（有効期限）請求項の不在にし、あなたのトークンが盗まれた場合、あなたは深刻なセキュリティ上の問題を抱えているだろうあなた

Answer 1

ありがとうございます。 jti（トークンID）の申し立てが設定されていても、すべてが無効にされているストレージ（データベースやファイルシステムなど）が必要な場合は、視聴者がこれを軽減できます。jti

OpenID Connect Core Specificationによると、IDトークンはexpとusually no more than a few minutesである必要があります。 JWTを使用するすべての認証プロバイダがこの要件に従うべきだと思います。