Devo archiviare JWT in localStorage?

Evita di archiviare i token di accesso in localStorage quando possibile. I cookie sicuri httpOnly riducono il rischio di furto di token derivante da attacchi XSS.

Per quanto tempo dovrebbero vivere i token di accesso JWT?

Mantieni i token di accesso di breve durata (spesso 5-15 minuti) e ruota i token di aggiornamento con il supporto della revoca.

Il JWT può essere revocato?

JWT è stateless per impostazione predefinita, ma è possibile implementare la revoca utilizzando liste nere di token, sessioni utente con versione e rotazione dei token di aggiornamento.

← Torna al blog

JWT Errori di sicurezza nel 2026: soluzioni pratiche per le API di produzione

Sicurezza token 07 marzo 2026 · 9 minuti di lettura

__Risposta rapida: Blocca gli algoritmi consentiti lato server, mantieni i TTL dei token di accesso brevi, ruota i token di aggiornamento e non perdere mai i JWT negli URL o nei log.

JWT security mistakes and how to avoid them

JWT è potente per l'autenticazione API, ma molti incidenti di produzione derivano da errori di implementazione, non da JWT stesso. Se la tua app utilizza token di accesso, token di aggiornamento e attestazioni di ruolo, la tua sicurezza dipende dai dettagli.

1) Accettare qualsiasi algoritmo

Non fidarti mai solo dell'algoritmo inviato dall'intestazione del token. Il tuo server deve applicare un elenco consentito esplicito (ad esempio, solo RS256).

Pin degli algoritmi previsti lato server.

Rifiuta token con mancanti o imprevisti alg.

Utilizza librerie JWT mature e mantenute attivamente.

2) Token di accesso di lunga durata

Se un token di accesso viene divulgato e rimane valido per giorni, un utente malintenzionato ha troppo tempo. Mantieni i token di accesso di breve durata e fai affidamento sul flusso di aggiornamento.

Token di accesso: TTL breve (5-15 minuti).

Aggiorna token: TTL più lungo + rotazione + revoca.

Invalida sessioni su attività sospette.

3) Perdite di token negli URL e nei log

Non inserire mai JWT nei parametri della query. Gli URL finiscono nei log, nelle analisi, nella cronologia del browser e nei referrer.

Invia token nell'intestazione Autorizzazione: portatore ... intestazione.

Pulisci le intestazioni di autenticazione dai log e dalle tracce APM.

Maschera i campi sensibili nella segnalazione degli errori del client.

4) Convalida reclamo debole

Convalida iss, aud, exp, nbf e iat. Verifica anche i vincoli aziendali come l'ID tenant e i ruoli richiesti.

Rifiuta token scaduti o non ancora validi.

Unisci il pubblico previsto per servizio.

Non fidarsi delle rivendicazioni di ruolo senza controlli lato server.

5) Nessuna strategia di rotazione delle chiavi

Le chiavi perdono, i certificati scadono e si verificano incidenti. Pianifica la rotazione prima del lancio della produzione.

Utilizza intestazioni kid ed endpoint JWKS.

Supporta chiavi sovrapposte durante le finestre di rotazione.

Monitora gli errori di convalida della firma per individuare eventuali anomalie.

Elenco di controllo pratico per il rafforzamento

Applica un rigoroso algoritmo dell'elenco consentito.

Utilizza token di accesso di breve durata.

Ruota i token di aggiornamento e supporta la revoca.

Conserva i token in modo sicuro (preferisci i cookie httpOnly).

Convalida tutte le affermazioni standard e fondamentali per l'azienda.

Implementa la rotazione delle chiavi con monitoraggio.

Strumenti correlati

Decodificatore JWT: ispeziona l'intestazione e il carico utile in modo sicuro.

__Hash Generator: verifica le impronte digitali di messaggi e file.

Password Generator: crea segreti complessi per account amministratore e di servizio.