Sam*_*far 12 security authentication jwt
我之前曾就JWT令牌的安全问题提出了一个很长的问题,但我想在这里专注于JWT令牌撤销.我使用JWT作为我的主要身份验证机制来验证移动应用程序的移动客户端.我的问题是:是否值得实施令牌撤销?目前,我的代币使用寿命很短,我依靠TLS来防止代币被未经授权的用户窃取.我还没有实现令牌撤销.但基本上这意味着如果一个令牌以某种方式被盗,就没有办法撤销它.更让我担心的是,当用户退出应用程序时,如果我无法撤消它,那么他们使用的最后一个令牌仍然有效.而且这也意味着我不能限制用户可以请求的令牌数量,因为我没有跟踪发布的任何令牌.我已经看到许多应用程序只将所有已发布的令牌存储在数据库中,允许它们撤销和管理令牌.但这似乎打败了使用JWT的目的.值得添加这种复杂性还是我当前的系统安全?
提前致谢.我感谢任何帮助.
是否值得,这里的任何人都很难评估。这取决于您要保护的内容以及您想要降低的风险。
如果您认为有必要能够撤销令牌,则可以使用引用令牌。它确实强制使用这些令牌的服务与授权服务器通信,这会降低可扩展性并引入单点故障。
目前正在制定一些举措来防止代币被盗。查看OAuth 公共客户端代码交换的令牌绑定协议和证明密钥。
| 归档时间: |
|
| 查看次数: |
3264 次 |
| 最近记录: |