【发布时间】:2016-12-30 08:37:56
【问题描述】:
我正在使用jwt-simple 节点模块:。
如何将令牌列入黑名单?
【问题讨论】:
-
您存储了一个包含所有黑名单令牌的列表,并将传入的令牌与此列表进行比较? JWT 并不是要被列入黑名单,而是要过期。
-
您有不同的选项在到期时间之前使令牌失效stackoverflow.com/questions/37507714/…
【发布时间】:2016-12-30 08:37:56
【问题描述】:
【讨论】:
将 jwt 令牌列入黑名单或销毁的简单方法:
使用jwt-blacklist 模块
通过$ npm install jwt-blacklist安装它
示例:
const jwt = require('jsonwebtoken');
const jwtBlacklist = require('jwt-blacklist')(jwt);
let token = jwtBlacklist.sign({
feeling: 'awesome'
}, 'secret', {expiresIn: '2h'});
jwtBlacklist.blacklist(token); // destroy the token
jwtBlacklist.verify(token); // throw error token expired or destroyed
【讨论】:
【讨论】:
-
感谢您的回答,但这并不能解释我的问题。我可以将访问令牌放入我想要黑名单但我不想访问数据库的数据库中。
-
我再说一遍:JWT 不应该被列入黑名单。它们会在设定的时间后自行过期。想要快速注销?缩短过期时间,但用户将不得不经常要求新令牌。不希望用户每次都询问?设置较长的过期时间,忘记注销。
-
想要将智威汤逊列入黑名单就像用铲子吃饭一样。当然,你可以以某种方式做到这一点。但是你可能会掉一两颗牙齿,把自己弄得一团糟,过得很艰难。要么用叉子吃饭,要么用铲子挖。如果您需要注销,请使用会话。需要智威汤逊?使用过期时间。
-
当我使用 Laravel 时,有函数 revokeToken()。如果有人拿走了您的访问令牌,而您想立即删除该令牌,那会出现问题,该怎么办?
-
那么您未能在令牌上设置足够短的到期时间。还有其他方案可以防止这种情况发生,但您会在 SO 中您的问题的多个副本中找到它们。