1
Q
JWT和阻止用戶
A
回答
1
JWT不是認證機制,而是令牌格式。由於JWT是獨立的,您可以將它們用於無狀態身份驗證。但是,這並不意味着你的認證機制必須是無狀態的(儘管它有它的好處)。
有用於處理用戶鎖定/撤銷授權幾個選項:驗證JWT,看看如果用戶被鎖定
- 執行用戶的查找在每個請求是短暫的,所以你可以查找用戶請求新的訪問令牌接下來的時間(例如,使用刷新令牌),然後拒絕簽發新的訪問令牌
- 或者,你可以黑名單發出的所有令牌通過將令牌的
jti存儲在數據庫中(和remov在已經超過exp時間的情況下列入黑名單項目)。另請參見:https://auth0.com/blog/blacklist-json-web-token-api-keys/ - 你可以看一下在智威湯遜的生命週期的特定JWT每N個請求或當X%的人確定的用戶已經通過,而不是在每一個請求這樣做。
這些方法都不是完全無狀態的。一般來說,如果您希望可以撤消授權,則無狀態授權是不可能的。如果你想令牌完全無狀態,你應該確保它們的壽命儘可能短,並且發佈一個新的令牌不是無狀態的。
相關問題
- 1. 應用跟蹤和阻止假用戶
- 2. 阻止用戶從檔案
- 3. 阻止用戶提交
- 4. AFNetworking阻止用戶界面
- 5. 如何阻止用戶?
- 6. 阻止Internet Explorer用戶
- 7. 阻止用戶關閉Firefox
- 8. UIActivityView和阻止
- 9. ShowDialog沒有阻止執行代碼,但阻止用戶界面
- 10. 獲取用戶jwt Knock Rails JWT
- 11. 阻止使用IE8和JAVASCRIPT
- 12. CORS用node.js和socket.io阻止
- 13. sql阻止用戶使用SET
- 14. 阻止用戶使用Windows窗體 - c#
- 15. Rails:阻止用戶使用routes.rb
- 16. 阻止用戶訪問應用程序
- 17. 如何設置express-jwt與angular2不阻止node_modules?
- 18. 檢查AD用戶是否被阻止使用PHP和adLDAP
- 19. Stormpath如何阻止用戶註冊
- 20. wxWidgets阻止用戶離開目錄
- 21. 阻止用戶走出地圖邊界
- 22. Drupal阻止X天登錄用戶
- 23. 阻止訪問其他用戶
- 24. 阻止用戶直接訪問頁面
- 25. TWAIN塊在用戶取消時阻止
- 26. 當回發時阻止用戶界面
- 27. Codeigniter阻止用戶轉到上一頁
- 28. 被阻止的用戶的Firebase規則
- 29. 阻止用戶手動訪問頁面
- 30. 如何阻止用戶界面凍結?
在這種情況下,爲什麼要使用JWT,在每個請求中生成唯一的字符串/標記並檢查標記有哪些好處? – Romper