1
私たちのアプリケーションでは、新しいJWTトークンは、ユーザーがリクエストを送信するたびにクッキーに返されます。ユーザが短時間に複数のリクエストを行うと、それぞれにほぼ完全に存続する複数の有効なトークンが存在します。もちろん、ブラウザは最新のものを使用していますが、誰かが以前のものを使用してユーザーを偽装する可能性があります。リフレッシュ後に以前のJWTトークンを無効にする方法
新しいトークンをディスパッチするときに以前のトークンを無効にする方法はありますか、最後のトークンに寿命があまりないときにのみ新しいトークンをディスパッチする唯一の選択肢ですか?
クライアントIPをトークンに埋め込む方法と、今後のリクエストIPと検証済みトークンのIPを比較する方法はありますか?これにより、悪意のあるユーザーが盗まれたトークンで機密データを取得するのを防ぐことができます(ただし、彼はCSRFトークンを取得できれば、依然として彼のIPを偽装してPOSTすることができます)。 –
これを試すことはできますが、IPSは一意の識別子ではありません。特に公共ネットワーク(携帯電話、オフィスワイファイなど)で。あなたがセキュリティに敏感なアプリケーションを構築しているなら、私はそれをしません。 – rdegges
十分に適切ですが、NATも問題になる可能性があります –