Dis*_*tum 11 security jwt azure-mobile-services
我在Azure移动服务中使用自定义身份验证,方法是在自定义登录API中生成JWT(JSON Web令牌).一旦用户拥有JWT,它就会一直有效,直到达到编码的到期时间.
除了在每个经过身份验证的请求上针对会话表显式检查JWT令牌之外,是否有一种方法可以在JWT令牌到期时间之前使其失效(当用户注销时会发生这种情况),以便使用该令牌作为值进行任何后续请求在X-ZUMO-AUTH标题中永远不会到达任何表API或自定义API脚本?
car*_*ira 10
并不是的.当用户在客户端注销时,它使用的JWT并未真正失效 - 它只是从客户端的内存中删除(例如,请参阅托管SDK上的代码).JWT验证是通过检查其签名与移动服务的主密钥完成的,除非更改此密钥(这将使您的所有服务的JWT令牌无效,我认为这不是你想要的),令牌将是有效期到期满.
由于您自己生成JWT,因此可以考虑使用较小的过期时间,这可能对您的情况有所帮助.
您还可以在移动服务的反馈论坛中推荐此功能.还有一个相关的功能建议我创建的,你也可以考虑加入到评论和投票起来.
| 归档时间: |
|
| 查看次数: |
10189 次 |
| 最近记录: |