Muy buenas a todos, tengo unas dudas sobre como usar correctamente los token, comento un poco lo que estoy haciendo.
Tengo una url para autentificacion auth0 ejemplo /login/ donde se reciven ya sea por el header o parametros post el usuario y la contraseña, si este es correcto se genera un token de aceso y otro de refresco donde para refrescar tengo /refresh/ para actualizar el de acceso, en el token de acceso se guarda un id que es guardado en redis con un usuario y contraseña por ejemplo
db.__setItem__(key,value)
donde un caso real es
db.__setItem__(id,{'username':'fran','password':'mi pass'})
entonces creo una url /protect/ donde uso JWT para que no pueda ser accedida sin tener un token de acceso valido, si es valido el token se descodifica y obtiene el id, con este id se mira en redis para obtener el usuario y contraseña y no tener que volver a pedir las credenciales solamente en la autentificacion pero tengo una duda
¿si alguien obtiene mi token de acceso puede acceder a la url protegida? de ser asi ¿como puedo evitarlo?
No, claro que no siempre en cuando puedas 'setear' (configurar) un tiempo de expiración para cada JWT.
Y mi ultimo consejo es que la firma (Signature) sea de 8 caracteres para arriba. Con eso basta. (;