Mám uložit JWT v localStorage?

Pokud je to možné, neukládejte přístupové tokeny do localStorage. httpPouze zabezpečené soubory cookie snižují riziko krádeže tokenu v důsledku útoků XSS.

Jak dlouho by měly přístupové tokeny JWT žít?

Udržujte přístupové tokeny krátkodobé (často 5–15 minut) a střídejte obnovovací tokeny s podporou odvolání.

JWT je designově bezstavový, ale odvolání můžete implementovat pomocí seznamů zakázaných tokenů, verzovaných uživatelských relací a rotace obnovovacích tokenů.

← Zpět na Blog

Chyby zabezpečení JWT v roce 2026: Praktické opravy pro produkční rozhraní API

Zabezpečení tokenů7. března 2026·9 min čtení

JWT security mistakes and how to avoid them

JWT je výkonný pro ověřování API, ale mnoho produkčních incidentů pochází z implementačních chyb, nikoli ze samotného JWT. Pokud vaše aplikace používá přístupové tokeny, obnovovací tokeny a nároky na role, vaše zabezpečení závisí na podrobnostech.

1) Přijetí jakéhokoli algoritmu

Nikdy nedůvěřujte algoritmu zaslanému pouze hlavičkou tokenu. Váš server musí vynutit explicitní seznam povolených (například pouze RS256).

Připnout očekávané algoritmy na straně serveru.
Odmítnout tokeny s chybějícími nebo neočekávanými alg.
Používejte vyspělé, aktivně udržované knihovny JWT.

2) Přístupové tokeny s dlouhou životností

Pokud přístupový token unikne a zůstane platný několik dní, má útočník příliš mnoho času. Udržujte přístupové tokeny krátkodobé a spolehněte se na tok obnovy.

Přístupový token: krátký TTL (5–15 minut).
Obnovit token: delší TTL + rotace + odvolání.
Zneplatnit relace podezřelé aktivity.

3) Únik tokenů v adresách URL a protokolech

Nikdy nevkládejte JWT do parametrů dotazu. Adresy URL končí v protokolech, analýzách, historii prohlížeče a referrerech.

Odeslat tokeny v Oprávnění: Doručitel ... záhlaví.
Vyčistěte hlavičky ověření z protokolů a trasování APM.
Maskujte citlivá pole v hlášení chyb klienta.

4) Slabé ověření nároku

Ověřit iss, aud, exp, nbf a iat. Ověřte také obchodní omezení, jako je ID tenanta a požadované role.

Odmítnout tokeny, jejichž platnost vypršela nebo ještě nejsou platné.
Vázejte očekávané publikum na službu.
Nedůvěřujte nárokům rolí bez kontrol na straně serveru.

5) Žádná strategie střídání klíčů

Únik klíčů, vyprší platnost certifikátů a dochází k incidentům. Naplánujte rotaci před spuštěním výroby.

Použijte kid záhlaví a koncové body JWKS.
Podpora překrývajících se kláves během rotace oken.
Monitorujte selhání ověření podpisu pro anomálie.

Praktický kontrolní seznam kalení

Vynutit přísný seznam povolených algoritmů.
Používejte přístupové tokeny s krátkou životností.
Otočte obnovovací tokeny a podporujte odvolání.
Uchovávejte tokeny bezpečně (preferujte pouze soubory cookie http).
Ověřte všechna standardní a obchodní kritická tvrzení.
Implementujte rotaci klíčů s monitorováním.

Související nástroje

JWT Decoder – bezpečně zkontrolujte záhlaví a užitečné zatížení.
Hash Generator — ověřte otisky zpráv a souborů.
Generátor hesel – vytvořte silná tajemství pro účty administrátorů a služeb.