Mám uložiť JWT v localStorage?

Ak je to možné, neukladajte prístupové tokeny do localStorage. httpIba zabezpečené súbory cookie znižujú riziko krádeže tokenov pri útokoch XSS.

Ako dlho by mali prístupové tokeny JWT žiť?

Udržujte prístupové tokeny krátkodobé (často 5-15 minút) a striedajte obnovovacie tokeny s podporou zrušenia.

Môže byť JWT odvolaný?

JWT je dizajnovo bez štátnej príslušnosti, ale zrušenie môžete implementovať pomocou zoznamov zakázaných tokenov, verzií používateľských relácií a rotácie obnovovacích tokenov.

← Späť na Blog

Chyby zabezpečenia JWT v roku 2026: Praktické opravy produkčných rozhraní API

Zabezpečenie tokenov7. marca 2026·9 min čítania

JWT security mistakes and how to avoid them

JWT je výkonný nástroj na overenie API, ale mnohé produkčné incidenty pochádzajú z implementačných chýb, nie zo samotného JWT. Ak vaša aplikácia používa prístupové tokeny, obnovovacie tokeny a nároky rolí, vaše zabezpečenie závisí od podrobností.

1) Prijímanie akéhokoľvek algoritmu

Nikdy neverte algoritmu odosielanému samotnou hlavičkou tokenu. Váš server musí vynútiť explicitný zoznam povolených (napríklad iba RS256).

Pripnite očakávané algoritmy na strane servera.
Odmietnuť tokeny s chýbajúcimi alebo neočakávanými alg.
Používajte vyspelé, aktívne udržiavané knižnice JWT.

2) Prístupové tokeny s dlhou životnosťou

Ak prístupový token unikne a zostane platný niekoľko dní, útočník má príliš veľa času. Udržujte prístupové tokeny krátkodobé a spoliehajte sa na tok obnovy.

Prístupový token: krátky TTL (5-15 minút).
Obnoviť token: dlhšie TTL + rotácia + zrušenie.
Zneplatniť relácie o podozrivej aktivite.

3) Únik tokenov v adresách URL a protokoloch

Nikdy nevkladajte JWT do parametrov dopytu. Adresy URL končia v denníkoch, analytike, histórii prehliadača a sprostredkovateľoch.

Odoslať tokeny v Autorizácia: Nositeľ ... hlavička.
Vyčistite autorizačné hlavičky z denníkov a trasovania APM.
Maskujte citlivé polia v hlásení chýb klienta.

4) Slabé overenie nároku

Potvrdiť iss, aud, exp, nbf a iat. Overte si aj obchodné obmedzenia, ako je ID nájomníka a požadované roly.

Odmietnuť tokeny, ktorých platnosť vypršala alebo ešte nie sú platné.
Zviazať očakávané publikum na službu.
Nedôverujte nárokom rolí bez kontrol na strane servera.

5) Stratégia bez kľúčovej rotácie

Únik kľúčov, platnosť certifikátov vyprší a dochádza k incidentom. Naplánujte rotáciu pred spustením výroby.

Použite hlavičky kid a koncové body JWKS.
Podpora prekrývajúcich sa klávesov počas otáčania okien.
Monitorujte zlyhania overenia podpisu pre anomálie.

Praktický kontrolný zoznam vytvrdzovania

Vynútiť prísny zoznam povolených algoritmov.
Použite prístupové tokeny s krátkou životnosťou.
Otočte obnovovacie tokeny a podporte zrušenie.
Uchovávajte tokeny bezpečne (uprednostňujte iba súbory cookie http).
Potvrdiť všetky štandardné a obchodné kritické nároky.
Implementujte striedanie kľúčov s monitorovaním.

Súvisiace nástroje

JWT Decoder — bezpečne skontrolujte hlavičku a užitočné zaťaženie.
Hash Generator — overte odtlačky správ a súborov.
Generátor hesiel — vytvorte silné tajomstvá pre správcovské a servisné účty.