黑名单/验证/生成 JWT 刷新令牌

【问题标题】:blacklisting/validating/generating JWT Refresh Tokens黑名单/验证/生成 JWT 刷新令牌
【发布时间】:2021-06-12 07:24:46
【问题描述】:

我在成功登录后发出访问令牌和刷新令牌。它们都保存在浏览器中的相同站点 cookie 中。自定义中间件将在身份验证过程之前将令牌放入 Authorization 标头中。该中间件还将检查访问令牌是否过期,如果是,它将尝试刷新令牌,如果验证将保存两个新的 cookie(新的刷新令牌和新的访问令牌)并将新生成的访问令牌与当前要求。 这是我们应该如何实现刷新令牌的方式吗?如果我想将特定的刷新令牌列入黑名单,是否应该将所有刷新令牌保存在数据库中?

 string auth = httpContext.Request.Cookies["AuthToken"];
 if(string.IsNullOrEmpty(auth))
 {
   httpContext.Request.Headers.Add("Authorization", $"AuthorizationCookieNotFound");
   return _next(httpContext); //That token wont be accepted i just
   // put it there for the sake of demonstration



 }
 httpContext.Request.Headers.Add("Authorization", $"Bearer {auth}");
 return _next(httpContext);

【问题讨论】:

    标签: asp.net-core .net-core jwt asp.net-core-webapi


    【解决方案1】:

    在存储刷新令牌时必须非常小心,并且必须将它们保存在某个秘密的地方,否则您会知道后果。

    我假设您在这里使用“授权代码流”。因此,根据用户名将刷新令牌存储在数据库中是一个好主意,您可以添加一个额外的列,例如“IsRevoked”以用于状态目的,然后您可以将基于用户名和已撤销状态的令牌列入黑名单/白名单。

    有关存储令牌的信息,请参阅this 链接。

    【讨论】:

      猜你喜欢
      • 2019-02-23
      • 2017-11-23
      • 2020-07-07
      • 2019-02-27
      • 1970-01-01
      • 2015-12-12
      • 2017-12-29
      • 2019-11-01
      • 2019-03-08
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode