Cor*_*inP 1 security authentication jwt
通过在Token本身中包含权限,JWT承诺会更快/更简单。但是我的问题是:假设用户已登录,并且正在使用包含允许用户访问A和B的权限信息的JWT。
然后,管理员或其他用户进入并授予该用户查看C的权限。仍然登录。但是由于用户仍在使用旧的JWT,因此他仍然无法访问C。
这里有什么选择?将令牌列入黑名单并强制用户再次登录?还是完全忘记基于令牌的权限?
JWT令牌存储在前端的localStorage或cookie中,因此当您的应用程序面临更改的权限时会出现此问题。
使用具有存储在数据库中的每个用户唯一SECRET的刷新令牌机制,因此通过更改此SECRET将强制该特定用户重新登录并获取具有更新权限的新令牌。
| 归档时间: |
|
| 查看次数: |
175 次 |
| 最近记录: |