Skip to main content

วงจรเซสชัน JWT (JWT Session Lifecycle)

ระบบ HR COREHub ใช้โทเค็นเว็บ JSON (JSON Web Tokens หรือ JWT) ในการยืนยันตัวตนการทำธุรกรรมและปกป้องข้อมูลผู้ใช้งานระหว่างเซสชันที่ใช้งานอยู่บนพอร์ทัล

หลักการทำงานของเซสชัน (How Sessions Work)

เมื่อคุณเข้าสู่ระบบสำเร็จ:

  • ระบบจะออก Access Token ที่มีอายุสั้นเพื่อใช้ในการตรวจสอบสิทธิ์คำร้องขอทั่วไปของผู้ใช้งาน
  • ระบบจะบันทึก Refresh Token ที่มีอายุยาวเก็บไว้อย่างปลอดภัย เพื่อร้องขอ Access Token ใหม่โดยอัตโนมัติ โดยไม่จำเป็นต้องพิมพ์ข้อมูลยืนยันตัวตนใหม่
Diagram แสดงวงจรเซสชัน JWT และกลไก Refresh Token Rotation ของระบบ HR COREHub

มาตรการควบคุมความปลอดภัย (Security Controls)

  • การหมดอายุของ Access Token: Access Token จะหมดอายุหลังจากไม่มีการใช้งานเป็นเวลา 15 นาที
  • การหมดอายุของ Refresh Token: Refresh Token จะหมดอายุหลังจากไม่มีการใช้งานเป็นเวลา 24 ชั่วโมง
  • การเตือนเซสชันหมดอายุ: ระบบจะแสดงกล่องข้อความเตือน 2 นาทีก่อนที่ Refresh Token จะหมดอายุ คุณสามารถคลิก "Extend Session" เพื่อต่ออายุเซสชันได้
  • การบังคับออกจากระบบ (Force Logout): หากตรวจพบความขัดแย้งของเซสชันหรือการใช้โทเค็นที่ไม่ปลอดภัย ระบบจะเพิกถอนสิทธิ์การใช้งานโทเค็นนั้นทันที และนำคุณกลับสู่หน้าล็อกอิน