Soll ich JWT in localStorage speichern?

Vermeiden Sie nach Möglichkeit das Speichern von Zugriffstokens in localStorage. httpNur sichere Cookies reduzieren das Risiko von Token-Diebstahl durch XSS-Angriffe.

Wie lange sollten JWT-Zugriffstoken gültig sein?

Halten Sie Zugriffstokens von kurzer Dauer (häufig 5–15 Minuten) und rotieren Sie Aktualisierungstokens mit Widerrufsunterstützung.

Kann JWT widerrufen werden?

JWT ist von Natur aus zustandslos, aber Sie können den Widerruf mithilfe von Token-Blacklists, versionierten Benutzersitzungen und Aktualisierungstokenrotation implementieren.

← Zurück zum Blog

JWT-Sicherheitsfehler und wie man sie vermeidet

Token-Sicherheit 07. März 2026 · 9 Min. gelesen

JWT ist für die API-Authentifizierung leistungsstark, aber viele Produktionsvorfälle sind auf Implementierungsfehler zurückzuführen, nicht auf JWT selbst. Wenn Ihre App Zugriffstoken, Aktualisierungstoken und Rollenansprüche verwendet, hängt Ihre Sicherheit von den Details ab.

1) Akzeptieren eines beliebigen Algorithmus

Vertrauen Sie niemals dem Algorithmus, der allein vom Token-Header gesendet wird. Ihr Server muss eine explizite Zulassungsliste erzwingen (z. B. nur RS256).

Erwartete Algorithmen serverseitig anheften.
Tokens mit fehlendem oder unerwartetem alg.
Verwenden Sie ausgereifte, aktiv gepflegte JWT-Bibliotheken.

2) Langlebige Zugriffstoken

Wenn ein Zugriffstoken durchsickert und tagelang gültig bleibt, hat ein Angreifer zu viel Zeit. Halten Sie Zugriffstokens kurzlebig und verlassen Sie sich auf den Aktualisierungsfluss.

Zugriffstoken: kurze TTL (5–15 Minuten).
Token aktualisieren: längere TTL + Rotation + Widerruf.
Sitzungen aufgrund verdächtiger Aktivitäten ungültig machen.

3) Durchsickern von Tokens in URLs und Protokollen

Fügen Sie niemals JWTs in Abfrageparameter ein. URLs landen in Protokollen, Analysen, Browserverlauf und Referrern.

Senden Sie Token im Autorisierung: Inhaber ... Header.
Scrub-Authentifizierungsheader aus Protokollen und APM-Traces.
Maskieren Sie sensible Felder in der Client-Fehlerberichterstattung.

4) Schwache Anspruchsvalidierung

Validate iss, aud, exp, nbf und iat. Überprüfen Sie auch geschäftliche Einschränkungen wie die Mandanten-ID und die erforderlichen Rollen.

Abgelaufene oder noch nicht gültige Token ablehnen.
Erwartete Zielgruppe pro Dienst binden.
Rollenansprüchen nicht ohne serverseitige Prüfungen vertrauen.

5) Keine Schlüsselrotationsstrategie

Schlüssellecks, Zertifikate laufen ab und es kommt zu Vorfällen. Planen Sie die Rotation vor Produktionsstart.

Verwenden Sie kid Header und JWKS-Endpunkte.
Unterstützt überlappende Schlüssel während Rotationsfenstern.
Überwachen Sie Signaturvalidierungsfehler auf Anomalien.

Praktische Härtung-Checkliste

Strikte Zulassungsliste für Algorithmen erzwingen.
Verwenden Sie kurzlebige Zugriffstoken.
Aktualisierungstoken rotieren und Widerruf unterstützen.
Speichern Sie Token sicher (bevorzugen Sie httpOnly Cookies).
Validieren Sie alle Standard- und geschäftskritischen Ansprüche.
Schlüsselrotation mit Überwachung implementieren.