最近,我一直在探索 JWT 及其在身份验证系统中的应用的主题。许多文章讨论了使用令牌和刷新令牌来解决安全挑战,特别是与访问撤销相关的安全挑战。然而,我质疑 10 分钟之类的短时间在减轻重大损害方面的有效性。
事实上,对我来说,在大多数应用中单独使用它是没有意义的。
鉴于此,问题就出现了:在使用JWE和黑名单进行即时撤销的系统中,需要什么refresh_tokens?
在这种情况下,每个令牌都链接到相同的 session_id,这允许通过将该 session_id 添加到黑名单来即时撤销。这种方法强制用户再次登录以获取具有新 session_id 的新令牌。
抱歉,如果我很粗鲁,但是找到简洁且连贯的信息变得越来越困难。
JWE 和黑名单并没有真正解决建立用户身份并确保用户有权使用他/她尝试访问的资源的问题。
刷新令牌是确保消耗资源的实体定期联系服务器并请求重新证明其身份并将其呈现给客户端的确切方法。
刷新令牌的时间有效性是实体在令牌有效期内可以执行的操作之间的平衡权衡,以防实体被取消访问特定资源的授权或就此而言身份不再受信任。时间越短,风险越小,但身份验证端点上的流量越多,因此您可以平衡它们。