Jwt 承载令牌是否以Auth0';s/userinfo api端点是否过期?
我们已经在SPA中使用隐式流为Auth0设置了锁小部件v11。我们在Auth0管理门户的应用程序设置中将JWT过期时间设置为15分钟,并在web应用程序中使用静默身份验证定期获取新令牌 该流工作正常,令牌按其应该的方式过期。我们的问题是userinfo端点。Auth0锁小部件正在内部对userinfo端点执行XHR请求。在安全筛选过程中,我们发现,如果我们记录了这样一个请求,然后在邮递员几个小时后再次请求,端点仍然会用用户详细信息(如姓名和电子邮件)进行响应。在该请求中发送的承载令牌与使用15分钟到期时间发出的令牌不同 这对我们来说是一个安全问题,因为在用户选择注销后很长时间内都可以获取基本用户信息 在Auth0管理门户中,我尝试将租户设置>高级下的“不活动超时”/“需要在”之后登录设置为1分钟。我还尝试在应用程序设置下降低“JWT过期时间”。这些设置都不会影响用户信息请求,该请求仍会以用户详细信息进行响应 对userinfo端点的请求示例:Jwt 承载令牌是否以Auth0';s/userinfo api端点是否过期?,jwt,auth0,auth0-lock,Jwt,Auth0,Auth0 Lock,我们已经在SPA中使用隐式流为Auth0设置了锁小部件v11。我们在Auth0管理门户的应用程序设置中将JWT过期时间设置为15分钟,并在web应用程序中使用静默身份验证定期获取新令牌 该流工作正常,令牌按其应该的方式过期。我们的问题是userinfo端点。Auth0锁小部件正在内部对userinfo端点执行XHR请求。在安全筛选过程中,我们发现,如果我们记录了这样一个请求,然后在邮递员几个小时后再次请求,端点仍然会用用户详细信息(如姓名和电子邮件)进行响应。在该请求中发送的承载令牌与使用15分
GET https://<tenant>.eu.auth0.com/userinfo
Request headers:
Authorization:Bearer <some token with length of 32>
是否有任何设置控制发送到userinfo的承载令牌的过期?它是否应该与应用程序JWT过期设置具有相同的过期时间?不幸的是,令牌过期时间是为端点设置的,无法更改。这份文件提供了一个答案
您是否考虑过对最后更新时间超过15分钟的令牌执行吊销?
{
"sub": "auth0|xxxxxxxxxxxxxxxxxx",
"nickname": "John",
"name": "John Doe",
"picture": "xxxxxxxxxxxx",
"updated_at": "2019-08-29T12:32:39.352Z",
"email": "user@example.com",
"email_verified": true
}