JSON Web 令牌过期和记住我功能

Question

我开始使用 django-rest 框架作为后端的 Angular 2 单页应用程序的身份验证系统。我还想要某种“记住我”功能，让用户在一定时间内保持登录状态。

从我目前阅读的内容来看，这种 Angular 2 SPA/REST API 的最佳身份验证方法似乎是使用 jwt（json Web 令牌）。对于 jwt 身份验证，我查看了 django-rest-framework-jwt (https://github.com/GetBlimp/django-rest-framework-jwt)。

我看到的问题是令牌需要有很短的生命周期（几分钟到几个小时......），以便在令牌被盗时最大限度地减少安全问题。令牌现在需要经常刷新，以避免用户在使用应用程序时断开连接。在这种情况下，“记住我”功能会带来问题，因为令牌的生命周期很短。

我想到了一个解决方案，其中涉及将用作刷新令牌的第二个令牌。它将是不透明的，具有更长的寿命，并且将包含特定于用户的信息（IP 地址或类似的东西），因此如果它被盗，特定于用户的不同信息将使此刷新令牌无效。

以下是我的问题：

1- 我想知道它们是否是解决此问题的现有解决方案。对于任何安全/身份验证问题，我更愿意依靠经过良好测试的解决方案来避免我的 API 受到损害。
2- 基于特定用户信息的刷新令牌是个好主意吗？
3- 还有什么其他想法可以实现我想要的吗？

Answer 1

对于您的情况，您确实需要一种存储已发行令牌的方法。

我总是使用 OAuth2.0 服务器设置来管理身份验证并返回令牌 OAuth 设置使用数据库来管理所有内容，因此很容易管理和撤销令牌。

数据库架构将是这样的http://imgur.com/a/oRbP2，如果只使用 JWT 而不对已发出的长期过期令牌进行任何管理，您就会遇到无法轻松撤销的安全问题。

我建议不要在 JWT 中包含任何诸如密码之类的东西，并要求他们更改密码，如果他们在任何地方都使用该密码，那么他们将不得不在任何地方进行更改。

从 cmets 更新

Sessions Authentication 使用 session_id，它大部分时间都存储在 cookie 中，并附加到每个传出请求。它是有状态的。它只不过是与服务器在内存/数据库中的用户帐户相关联的唯一标识符。例如，这可能会在扩展基础架构时运行多个服务器/实例时出现问题。

令牌认证服务器上没有持久化会话，因此这意味着它是无状态的。它通常使用标头 Authorization: Bearer REPLACE-WITH-TOKEN 。这意味着此令牌可以传递到多个不同的服务器/实例，因为身份验证不限于您启动身份验证的服务器。这有助于扩展您的基础架构。令牌也可以传递给其他客户端。

RESTful API 是无状态的，因此服务器上不能存储会话状态。相反，它必须完全由客户端处理，这就是使用令牌身份验证的原因。

我在尝试将 JWT 用于需要比 JWT 设计用途更多的应用程序时遇到了确切的问题。 OAuth2.0 有更多选项，我认为这些选项对于以最安全的方式满足您的要求是必要的，甚至还有一些您可能会在未来发现非常有用的功能，因为您的应用程序可能会增长并需要更多有关身份验证的功能。