我們的應用程序中有一項要求: 當用戶更改其密碼時,應重新設置所有其他設備或計算機的其他登錄名已認證(除當前用戶的會話)。如何在使用Jersey和OAuth2更改密碼時撤銷用戶的所有令牌
我在下面看到(下面提供的鏈接和引用的段落是相關的),並得到了這樣的想法:撤銷用戶的所有令牌。
但不知道如何實現這一點(撤銷所有的令牌)。我們正在使用Jersey和OAuth2。 撤銷令牌意味着從會話和cookie中刪除現有的訪問令牌/刷新令牌。那麼換成新的令牌?
感謝
Best practice for REST token-based authentication with JAX-RS and Jersey
[與JAX-RS新澤西州的REST基於令牌的認證和最佳實踐]使用撤銷憑證與智威湯遜
如果你想撤銷令牌,你必須保持他們的軌道。您不需要在服務器端存儲整個令牌,只存儲 令牌標識符(必須是唯一的)和一些元數據(如果需要)。 對於令牌標識符,您可以使用UUID。
應該使用jti聲明將標記標識符存儲在 標記中。在驗證令牌時,通過檢查您在服務器端的令牌標識符 上的jti聲明值,確保它未被吊銷 。
出於安全考慮,當用戶更改其密碼時撤銷所有令牌。