1
Q
JWT和阻止用戶
A
回答
1
JWT不是認證機制,而是令牌格式。由於JWT是獨立的,您可以將它們用於無狀態身份驗證。但是,這並不意味着你的認證機制必須是無狀態的(儘管它有它的好處)。
有用於處理用戶鎖定/撤銷授權幾個選項:驗證JWT,看看如果用戶被鎖定
- 執行用戶的查找在每個請求是短暫的,所以你可以查找用戶請求新的訪問令牌接下來的時間(例如,使用刷新令牌),然後拒絕簽發新的訪問令牌
- 或者,你可以黑名單發出的所有令牌通過將令牌的
jti
存儲在數據庫中(和remov在已經超過exp
時間的情況下列入黑名單項目)。另請參見:https://auth0.com/blog/blacklist-json-web-token-api-keys/ - 你可以看一下在智威湯遜的生命週期的特定JWT每N個請求或當X%的人確定的用戶已經通過,而不是在每一個請求這樣做。
這些方法都不是完全無狀態的。一般來說,如果您希望可以撤消授權,則無狀態授權是不可能的。如果你想令牌完全無狀態,你應該確保它們的壽命儘可能短,並且發佈一個新的令牌不是無狀態的。
相關問題
- 1. 阻止特定用戶JWT令牌?
- 2. 阻止用戶
- 3. 阻止用戶
- 4. 阻止Alexa用戶
- 5. 應用跟蹤和阻止假用戶
- 6. 阻止用戶:在OmniAuth
- 7. 查詢用戶被阻止
- 8. AFNetworking阻止用戶界面
- 9. 阻止用戶進入smack
- 10. semaphore_wait_trap阻止用戶界面
- 11. 阻止用戶更改URL
- 12. 阻止用戶提交
- 13. 如何阻止用戶?
- 14. UIViewAnimation阻止用戶交互
- 15. 阻止Internet Explorer用戶
- 16. 阻止用戶從檔案
- 17. 阻止用戶關閉Firefox
- 18. UIActivityView和阻止
- 19. 阻止用戶界面無法阻止div
- 20. ShowDialog沒有阻止執行代碼,但阻止用戶界面
- 21. 獲取用戶jwt Knock Rails JWT
- 22. CORS用node.js和socket.io阻止
- 23. 阻止使用IE8和JAVASCRIPT
- 24. JWT身份驗證和用戶驗證
- 25. 使用javascript阻止當前用戶ip
- 26. sql阻止用戶使用SET
- 27. Rails:阻止用戶使用routes.rb
- 28. 阻止用戶訪問應用程序
- 29. 阻止用戶使用Windows窗體 - c#
- 30. JWT/antMatchers阻止訪問的Spring安全配置
在這種情況下,爲什麼要使用JWT,在每個請求中生成唯一的字符串/標記並檢查標記有哪些好處? – Romper