18 messaggi dal 06 settembre 2002
Avrei bisogno di un chiarimento sulla gestione della scadenza dei token JWT.

Ci troviamo nel seguente scenario.

Un'app per smartphone deve utilizzare dei servizi RESTful sviluppati con ASP.NET Core WebAPI.

Al primo utilizzo dell'app viene richiamato l'endpoint per l'autenticazione che in caso positivo restituisce un token JWT.

Tramite questo token l'app potra' avere l'accesso ai servizi RESTful che richiedono l'autorizzazione.

Domanda
Dagli esempi ho visto che viene sempre impostata una scadenza del token JWT.

Volendo evitare all'app di ripetere la fase di login quando scade il token, e' possibile definire un token JWT privo di scadenza?

Bisogna prevedere una funzione che rinnova automaticamente il token JWT scaduto?

grazie
salvo
630 messaggi dal 13 novembre 2008
Contributi
per motivi di sicurezza è bene impostare una data di scadenza, possibilmente breve, e prevedere un servizio di rinnovo del token scaduto

qui trovi un articolo interessante di Moreno
http://www.aspitalia.com/script/1288/Autenticazione-JWT-Token-ASP.NET-Core-Web-API.aspx

guarda anche i commenti all'articolo per ulteriori info, ciao.
11.097 messaggi dal 09 febbraio 2002
Contributi
Esatto, bisogna valutare quali sono i rischi nel caso in cui uno smartphone venisse smarrito e trovato da un malintenzionato che avrà la possibilità di accedere ai dati, compresi i dati personali dell'utente.
Se il rischio è basso perché si tratta di un'app sul fantacalcio, puoi anche impostare una scadenza più lunga (es. 1 anno o quel che vuoi tu).

Se decidi di impostare una scadenza lunga ma comunque vuoi qualche sorta di protezione aggiuntiva, potresti includere nel token JWT anche il Security Stamp di ASP.NET Core Identity che consentirà all'utente di fare un logout da remoto. In pratica: il token JWT è ancora in corso di validità ma il security stamp che si trova all'interno non corrisponde più con quello che si trova nel database, che era stato aggiornato dopo la segnalazione di smarrimento dello smartphone.
Questa cosa non mi è ancora capitato di farla perché di solito imposto token con scadenza breve, ma potrei preparare uno script ad integrazione di quello che ti ha segnalato teo.

Nel frattempo c'è questo:
https://stackoverflow.com/questions/43281507/security-stamp-validator-in-jwtbearermiddleware

ciao,
Moreno
Modificato da BrightSoul il 21 novembre 2018 09.35 -

Enjoy learning and just keep making

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.