1
在我們的應用程序中,每當用戶發送請求時,即使之前的壽命仍然很長,新的JWT令牌也會返回cookie中。如果用戶在很短的時間內發出多個請求,則每個有多個有效令牌將近終生。瀏覽器當然是使用最新的瀏覽器,但有人可能仍然使用以前的模擬用戶。如何在刷新後使以前的JWT令牌無效
有沒有辦法在分派新標記時使上一個標記無效,或者只有在最後一個標記沒有多少生命期時才能分派新標記?
A
回答
1
「無效」令牌的唯一方法是通過有狀態地跟蹤它們。
這通常意味着要做一些事情,如保持有效和無效的標記的鍵/值緩存,並檢查每個請求上的這些列表的傳入請求標記。
這樣做的缺點是您失去了很多JWT的'無狀態'好處(因爲您仍在檢查集中式存儲以獲取令牌有效性),但好處是您可以更安全'立即撤銷令牌,你不再需要服務。
一種解決方法是讓您的訪問令牌非常短暫(5分鐘左右),以儘量減少濫用。
相關問題
- 1. Laravel JWT令牌是無效的刷新他們的認證JWT方法後
- 2. Firebase php-jwt令牌刷新
- 3. 角度 - 刷新jwt令牌
- 4. Spring Oauth JWT - 刷新令牌
- 5. JWT刷新令牌[Laravel 5.2]
- 6. JWT令牌無效簽名
- 7. 已過期JWT令牌 - 如何刷新令牌
- 8. Firebase DB HTTP API Auth:何時以及如何刷新JWT令牌?
- 9. 如何在angularjs中使用攔截器刷新JWT令牌?
- 10. 在Spring中使用JWT以及刷新令牌OAuth2
- 11. 撤銷JWT的OAuth2刷新令牌
- 12. 如何使JWT令牌失效PHP
- 13. 如何使用流明刷新jwt中的令牌?
- 14. 如何使用OAuth2靜默刷新過期的JWT令牌?
- 15. 春雲Zuul和JWT刷新令牌
- 16. 刷新jwt令牌laravel和angularJs
- 17. 處理JWT和刷新令牌流
- 18. 如何在AngularJS中刷新過期的jwt令牌
- 19. Laravel與JWT令牌返回太長的刷新令牌
- 20. 無法在到期後刷新令牌
- 21. Laravel Passport說刷新令牌無效
- 22. IdentityServer4刷新令牌無效授予
- 23. 在Laravel上使用JWT刷新令牌的流程流明
- 24. 「無效簽名」JWT令牌Opentok
- 25. JWT令牌無法在
- 26. 如何在asp.net核心web API(無第三方)中實現JWT刷新令牌?
- 27. 刷新訪問令牌後彈出OAuth2刷新令牌
- 28. 使用jwt檢查令牌是有效還是無效
- 29. 我如何刷新刷新令牌
- 30. 如何在更改Google密碼後使谷歌的刷新令牌失效?
如何將客戶端IP嵌入到令牌中,並將即將到來的請求IP與經過驗證的令牌的IP進行比較?這可以防止惡意用戶使用盜取的令牌獲取敏感數據(儘管如果他還可以獲得CSRF令牌,他仍然可以通過欺騙他的IP來發布POST請求) –
您可以嘗試此操作,但IPS不是唯一標識符。特別是在公共網絡(手機,辦公室wifi等)。如果你正在構建一個安全敏感的應用程序,我不會那樣做。 – rdegges
不夠公平,NAT也可能有問題 –