[问题反馈]: toekn登录有效期过长 #44

universeXiong · 2022-09-12T15:50:37Z

我发现经历好几个天好几个版本迭代，后台登录总是不会过期，只要我一打开/admin/article地址，就能进入后台。
从安全上考虑，这是不被允许的，每个网站都会设置token有效期，甚至我在支付宝安全平台上登录，只要十几二十分钟（记不清反正很快）不操作，就会被系统踢出登录。

No response

0.37.1

Docker 部署(文档默认)

Mereithhh · 2022-09-12T16:47:52Z

感谢反馈！

原因

后台用的是 JWT 鉴权，Token 默认的有效期为一星期，这么设置是因为此项目只是个人博客系统，频繁的登录会比较麻烦。

JWT 的特性决定只要不更改部署时的 VAN_BLOG_JWT_SECRET，那签发有效期内的 Token 就一直生效，和版本升级没有关系。甚至你和其他人的 VAN_BLOG_JWT_SECRET 一样，也可以通过自己的 Token 验证通过其他人的服务。

什么是 JWT -- JSON WEB TOKEN

从安全性角度讲，目前所有的密码都不是明文的，且每次登录都会更新随机盐，碰撞出密码的情况基本不存在。

设置较短的 Token 过期时间，我个人认为只能防止在陌生设备登录后忘了点击登出的情况，对于个人博客场景反而麻烦多一点。

我会在后面的版本中的 登录安全策略 中加入 Token 有效期的选项，您可以关注一下。

后续会陆续上线一些安全方面的功能：

universeXiong added the 问题反馈反馈问题帮助我们改进 VanBlog label Sep 12, 2022

universeXiong mentioned this issue Sep 12, 2022

[问题反馈]: 后台修改密码 #45

Closed

Mereithhh closed this as completed Sep 12, 2022

Mereithhh added a commit that referenced this issue Sep 19, 2022

feat: 登录凭证有效期后台可配置 #44

853ca38