那些遇到过的问题

JWT 和阻止用户

Rom*_*per 6 jwt

JWT 是一种无状态身份验证机制,因为用户状态永远不会保存在服务器内存中。

如果管理员因某些原因阻止用户,如何使令牌失效?

Flo*_*ter 3

JWT 不是一种身份验证机制,而是一种令牌格式。由于 JWT 是独立的,因此您可以使用它们进行无状态身份验证。然而,这并不意味着您的身份验证机制必须是无状态的(尽管它有它的好处)。

有多种选项可用于处理用户锁定/撤销授权:

  • 验证 JWT 后,在每个请求中查找用户,以查看用户是否被锁定
  • 访问令牌应该是短暂的,因此您可以在下次请求新的访问令牌时查找用户(例如,使用刷新令牌),然后拒绝颁发新的访问令牌
  • 或者,您可以通过将为特定用户颁发的所有令牌存储jti在数据库中来将其列入黑名单。另请参阅:https ://auth0.com/blog/denylist-json-web-token-api-keys/ 。编辑:正如评论中指出的,虽然不是严格无状态的,但这种方法仍然有效,因为黑名单只需要在其生命周期内存储黑名单令牌,并且查找应该非常高效。
  • 您可以每 N 个请求或 JWT 生命周期的 X% 过去时查找由特定 JWT 标识的用户,而不是在每个请求中都执行此操作。

这些方法都不是完全无状态的。一般来说,如果您希望可以撤销授权,则无状态授权是不可能的。如果你希望你的代币完全无状态,你应该确保它们的生命周期尽可能短,并且发行新的代币不是无状态的。

  • 在这种情况下,为什么要使用 JWT,生成唯一的字符串/令牌并在每个请求上检查令牌有什么好处? (5认同)

归档时间:

查看次数:

3335 次

最近记录:

4 年,10 月 前
相关归档
如果JWT被盗怎么办? 170
使用没有密码的JWT Laravel 5进行身份验证 14
JWT 给 JsonWebTokenError “无效令牌” 10
基于令牌的聚合物认证 9
使用 Google Cloud Platform 服务帐户查询 GSuite Directory API 7
.NET Core 2.1中的HttpContext.GetTokenAsync无法检索JWT 5
如何在 Golang 中验证 JWT 令牌 5
如何解码令牌并获取djangorestframework-jwt包的信息为Django 4
测试验证方法 2
未实现 Keycloak 模拟 API 0
难疑归档
什么是Python中的元类? 5409
让现有的Git分支跟踪一个远程分支? 3437
如何在JavaScript中获取查询字符串值? 2701
如何在Bash中的分隔符上拆分字符串? 1885
什么是NullReferenceException,我该如何解决? 1876
C++ 11引入了标准化的内存模型.这是什么意思?它将如何影响C++编程? 1810
如何创建一个像链接一样的HTML按钮? 1769
当键盘出现时 - 如何开始编辑时,如何让UITextField向上移动? 1674
从已从磁盘中删除的Git存储库中删除多个文件 1294
Promises和Observables有什么区别? 1291