#session #jwt #session-cookies
#сессия #jwt #сессия-файлы cookie
Вопрос:
У нас есть требование автоматически выходить из системы / перенаправлять пользователей на страницу входа после X времени простоя. Это, скорее всего, будет реализовано с помощью какого-либо метода JavaScript, который потребует минимального, но некоторого знания деталей сеанса. Приложение проходит аутентификацию через поставщика IDaaS, который возвращает JWT. Мы могли бы поместить только часть JWT, такую как срок действия, в файл cookie, но мы должны использовать HttpOnly, который недоступен для JavaScript.
Я думаю создать второй файл cookie с простым временем / истечением автоматического выхода из системы. Это было бы независимо от фактического управления сеансом на стороне сервера и действительно просто для обработки перенаправления. В нашем аудите безопасности я уверен, что мы все равно будем использовать cookie, отличные от HttpOnly. Моя другая мысль — создать таймер JS для обработки перенаправления (опять же, не связанный с фактической недействительностью JWT). Итак, какова наилучшая практика для обработки автоматического выхода / перенаправления?
Комментарии:
1. Я не знаю, видели ли вы RFC-7519 , но вы можете включить
expутверждение в свой JWT? Я не уверен, будет ли это подходящим решением или нет?2. Спасибо за совет, но JWT уже истекает. Я больше смотрю на то, как обрабатывать перенаправление веб-страницы. Я решил использовать подход таймера JavaScript.