我想知道大型应用程序如何处理其Api身份验证。一个例子:
如果我通过手机登录Facebook,除非手动注销,否则无需重新登录,这是否意味着存储的令牌具有“无”有效期限?
我熟悉JWT,但是我看不到如何在没有重大安全漏洞的情况下实现这种结果,例如:令牌被劫持,然后劫机者可以访问永不过期的令牌。
它们是否执行以下操作:在用户操作上刷新令牌?我在这里一无所知。
对于董事会的极端问题表示歉意。
在这种应用程序中,当您重新输入该应用程序时,它将尝试登录,但是当获得令牌过期值时,它将自行重新生成新令牌,并在后台再次要求登录。
1)用户重新进入应用程序,每个Web服务都会检查会话。
2)如果会话已过期。
3)使用您的凭据在后台提出新的登录请求(您的凭据存储在首选项中)
4)您可以再次享受应用程序而不会受到干扰。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句