Ar trebui să stochez JWT în localStorage?

Evitați stocarea jetoanelor de acces în localStorage atunci când este posibil. httpNumai cookie-urile securizate reduc riscul de furt de simboluri din atacurile XSS.

Cât timp ar trebui să trăiască jetoanele de acces JWT?

Păstrați jetoanele de acces de scurtă durată (adesea 5-15 minute) și rotiți jetoanele de reîmprospătare cu suport de revocare.

JWT poate fi revocat?

JWT este apatrid prin proiectare, dar puteți implementa revocarea utilizând liste negre de jetoane, sesiuni de utilizator cu versiuni și rotația jetoanelor de reîmprospătare.

← Înapoi la Blog

Greșeli de securitate JWT în 2026: remedieri practice pentru API-urile de producție

Token Security07 martie 2026·9 min de citit

Răspuns rapid: Fixați algoritmii permisi pe server, păstrați codurile TTL de acces scurte, rotiți jetoanele de reîmprospătare și nu scurgeți niciodată JWT-uri în URL-uri sau jurnale.

JWT security mistakes and how to avoid them

JWT este puternic pentru autentificarea API, dar multe incidente de producție provin din greșeli de implementare, nu de la JWT în sine. Dacă aplicația dvs. folosește jetoane de acces, jetoane de reîmprospătare și revendicări de rol, securitatea dvs. depinde de detalii.

1) Acceptarea oricărui algoritm

Nu aveți încredere niciodată în algoritmul trimis numai de antetul jetonului. Serverul dvs. trebuie să impună o listă de permise explicită (de exemplu, numai RS256).

Puneți algoritmii așteptați pe server.
Respingeți jetoanele cu alg.
Utilizați biblioteci JWT mature, întreținute activ.

2) Jetoane de acces cu durată lungă de viață

Dacă un token de acces se scurge și rămâne valabil zile întregi, un atacator are prea mult timp. Păstrați jetoanele de acces de scurtă durată și bazați-vă pe fluxul de reîmprospătare.

Jeton de acces: TTL scurt (5-15 minute).
Jeton de reîmprospătare: TTL mai lung + rotație + revocare.
Invalidați sesiunile pentru activități suspecte.

3) Scurgeri de jetoane în adrese URL și jurnale

Nu puneți niciodată JWT-uri în parametrii de interogare. Adresele URL ajung în jurnale, analize, istoricul browserului și referrere.

Trimite jetoane în Autorizare: purtător ... antet.
Scură anteturile de autentificare din jurnalele și urmele APM.
Mascați câmpurile sensibile în raportarea erorilor clientului.

4) Validare slabă a revendicării

Validați iss, aud, exp, nbf și iat. Verificați, de asemenea, constrângerile companiei, cum ar fi ID-ul chiriașului și rolurile necesare.

Respingeți tokenurile expirate sau nevalide.
Leagă publicul așteptat per serviciu.
Nu aveți încredere în revendicările de rol fără verificări pe server.

5) Strategie de rotație fără chei

Cheile se scurg, certificatele expiră și apar incidente. Rotația planului înainte de lansarea producției.

Utilizați anteturile kid și punctele finale JWKS.
Acceptă chei suprapuse în timpul ferestrelor de rotație.
Monitorizați erorile de validare a semnăturii pentru anomalii.

Lista de verificare practică a întăririi

Aplicați algoritmul strict permis-list.
Utilizați jetoane de acces de scurtă durată.
Rotiți jetoanele de reîmprospătare și acceptați revocarea.
Pastrați jetoane în siguranță (prefer httpNumai cookie-uri).
Validați toate revendicările standard și critice pentru afaceri.
Implementați rotația cheilor cu monitorizare.

Instrumente similare

JWT Decoder — inspectați antetul și sarcina utilă în siguranță.
Hash Generator — verificați mesajul și fișierul amprentele digitale.
Generator de parole — creați secrete puternice pentru conturile de administrator și de serviciu.