实现登录流程并被 JWT 说服,因为我们将扩展作为优先事项。 过去,系统将基于整体应用程序中的会话令牌。 JWT 显然意味着我们不再需要为用户会话提供缓存服务器。所以这就是我困惑的地方:
如果我通过保留密钥黑名单(建议)来解决撤销和令牌窃取问题,那么现在从上面看起来与会话令牌完全相同,因为我正在对每个请求进行查找。
也许我没有完全理解某件事或认为这是错误的。 也许 - 未找到被阻止的 JWT 的结果比完整检索更快。
感谢您提供任何可以解决此问题的方法:)
如果您实现了保留令牌黑名单的功能,那么这实际上与会话相比并没有太大变化。您仍然需要查找令牌、保持黑名单更新、正确复制等。
更好的方法可能是拥有非常短的过期时间(例如 5 或 15 分钟)的访问令牌。时间足够短,您可以接受有人窃取令牌并在这么短的时间内使用它的风险。那你只能保留一个刷新令牌的黑名单,这些刷新令牌使用得较少。
我很确定很多人和例子都推荐刷新令牌的黑名单。 但是,我仍然无法理解使用黑名单而不是仅删除刷新令牌存储库中的刷新令牌。 黑名单和删除有什么区别? 祝你有美好的一天!