dat*_*ews 5 amazon-web-services amazon-cognito
我无法弄清楚这个问题,但我知道 JWT 令牌是自包含的,有自己的过期时间。通常,黑名单可能包含“过期”令牌,并且如果该令牌列在其中,则阻止访问路由。
我想知道,如果使用 aws cognito 并调用注销端点,实际上是否会将 aws 端的 JWT 令牌列入黑名单?有一个访问令牌和一个刷新令牌,因此两者都会失效,还是用户仍然可以使用该令牌登录,直到达到令牌的过期时间?
不,不是的。调用 LogOut 端点将使您与托管 UI/Oauth 端点的任何会话无效。
另一种选择是调用 globalSignOut [1],这将使所有用户访问和刷新令牌(用于 Cognito API)无效。
但是,JWT 令牌仍然有效,并且正如您所提到的,它是独立的。没有内置的令牌黑名单可供您自己的服务器以可扩展的方式检查。如果需要,您需要自己实现这一点。
[1] https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GlobalSignOut.html
| 归档时间: |
|
| 查看次数: |
8102 次 |
| 最近记录: |