如何解决JWT 可以是有状态的吗?
我一直选择在会话上使用 jwt,因为后端的开销较少(请记住,这一切都取决于用例),但我遇到的主要问题是令牌的失效,例如:在用户被停用的情况下,相关的 jwt 仍然有效,直到它过期。有没有办法以经济有效的方式解决这个问题?
PS - 但是我在 cookbook section on the featherjs 中看到了术语“撤销 JWT” 框架。但看起来他们仍然使用 redis 作为查找,这反过来又使其继承了使用会话的缺点。
解决方法
一旦发出 JWT,它的有效期与 exp 声明值一样长。您无法撤销 JWT,这不是 JWT 的工作方式。
正如您所指出的,有多种方法可以模仿撤销行为,但为此您需要做两件事:
- 您需要有一个数据库,其中包含有关撤销哪些令牌的信息
- 您必须确保每当您使用令牌时,您都会在线检查数据库。
没有其他方法可以做到这一点。
如果您确实需要撤销 JWT,则意味着您需要会话,而您不应该为此使用 JWT。您可以查看 this article 以了解原因。如果您决定坚持使用 JWT,请查看我写的这篇 best practices 文章,了解要注意什么。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
