我正在研究 JWT 访问令牌 (AC) 和轮换刷新令牌 (RT) - 这意味着对于每个更新 RT 请求,应用程序都会生成一对新的 RT 和 AC 令牌。
我看到一些博客、帖子提到 JWT 令牌系列 - 通常当服务器在续订请求上识别出恶意 RT 时,令牌系列应该失效并应使用新的令牌系列。
什么是 JWT 代币系列以及如何创建它们?
与 RFC 上的代币系列无关 https://datatracker.ietf.org/doc/html/rfc7519
从这个意义上说,JWT 令牌系列将是基于一个具体 RT 创建的所有访问令牌和刷新令牌。
当您第一次执行授权码流程并对用户进行身份验证时,您将发出第一对 AT/RT。基于此初始 RT 的所有其他代币将形成 JWT 系列。
如何创建这样的家庭取决于你,它没有标准化。一种解决方案是将所有令牌保存在数据库中,并引用原始令牌。这将允许您随后撤销这些令牌。另一种非常常见的解决方案是在数据库中创建一个条目,该条目代表发行令牌的原始行为(有时称为“委托”)。然后,您可以使用该委托的 ID 向所有令牌添加声明。当您想要撤销代币时,只需将委托标记为已撤销即可。
请记住,撤销访问令牌要棘手得多。访问令牌由您的 API 进行验证,并且通常是离线完成的(当令牌类似于 JWT 时)。现在,您的 API 必须联系授权服务器来检查访问令牌是否被撤销。这就是为什么建议使用短期访问令牌,这样您就不必处理撤销问题。