我以前問過關於JWT令牌安全性的一個長問題,但我想在此專門關注JWT令牌撤銷。我使用JWT作爲我的主要身份驗證機制來驗證移動應用程序的移動客戶端。我的問題是:是否值得實施令牌撤銷?目前,我使用的令牌時間很短,我依靠TLS來防止未授權用戶盜取令牌。我沒有實現令牌撤銷。但基本上這意味着如果某個令牌被盜用了,那麼就沒有辦法撤銷它了。更令我擔憂的是,當用戶退出應用程序時,如果我無法撤消它們,最後使用的令牌仍然有效。而且這也意味着我不能限制用戶可以請求的令牌數量,因爲我沒有跟蹤發佈的任何令牌。我見過很多應用程序只是將所有發佈的令牌存儲在數據庫中,允許它們撤銷和管理令牌。但這似乎打破了使用智威湯遜的目的。值得添加這樣的複雜性還是我現在的系統安全?JWT令牌撤銷是否值得?
在此先感謝。我感謝任何幫助。
謝謝MvdD。我很感激。這真的很有幫助。 –
不客氣,只要使用upvote按鈕,如果答案是有幫助的。並且不要忘記標記一個被接受的答案。 – MvdD