Какие проблемы безопасности есть у JWT?

Question

Основная проблема JWT — утечка токена: любой, у кого он есть, может использовать его до истечения срока. JWT сложно отозвать до exp, если не использовать дополнительные механизмы. При неправильной настройке можно получить уязвимости, связанные с алгоритмами подписи. Также есть риски XSS и неправильного хранения токена на клиенте.

YeaHub · Accepted Answer

JWT — это инструмент, который требует аккуратного использования и чёткого понимания его ограничений.ОпределениеУязвимости JWT — это риски, связанные с хранением, передачей и валидацией токенов, а не с самим форматом.Основные проблемы безопасности1) Утечка токенаТокен можно украсть через XSS.Любой, у кого есть токен, считается авторизованным.2) Сложность отзываStateless-природа.Без blacklist’ов токен живёт до exp.3) Долгий срок жизниЧем больше exp, тем выше риск.Часто решают refresh-токенами.4) Ошибки валидацииНепроверенный алгоритм подписи.Игнорирование exp, aud, iss.5) Хранение на клиентеLocalStorage уязвим к XSS.Cookie требуют защиты от CSRF.Практические меры защитыКороткий TTL access-токенов.Refresh-токены с серверным хранением.Проверка всех claims.Использование HTTPS.ВыводJWT безопасен только при правильной настройке: короткая жизнь токена, строгая валидация и защита от утечек обязательны.