我有一个问题,用户注销后是否可以使用当前的 JWT?
场景:我有一组需要授权令牌才能访问端点的私有 API。在这里,我有一个需要登录并获取 JWT 的 Web 应用程序。我将令牌放在一边,并在活动会话中按下注销按钮,即使我能够使用 JWT 访问端点,我的会话也需要到期,这将如何发生这是正确的方法还是我可以提出这个作为一个错误?
【问题讨论】:
标签: security session authentication authorization jwt
这是怎么回事?
会话详细信息可能存储在 JWT 本身中,并且没有服务器端状态。每次您发送 JWT 时,他们都会尝试对其进行解密,然后验证其中存在的声明并提供所需的访问权限。由于 JWT 本身包含其到期信息,因此他们无法使其无效。它将在创建令牌时确定的指定时间后过期。他们可能只是在注销时清除 cookie。
这是正确的方法吗?
视情况而定。这是速度和安全性之间的权衡。为了撤销令牌访问,应该有一个服务器状态维护访问/撤销的令牌集。如果应用程序不存储任何机密/敏感信息,则其设计要求他们选择服务器状态。如果站点在 https 上并且没有 XSS,那么以某种方式获取令牌的唯一方法是获得对设备的物理访问权限。如果访问令牌的到期时间少于 20 分钟,则风险很小。但这主要取决于应用程序的性质。例如,这不是银行应用程序的正确方法。
我可以提出错误吗?
您应该确认假设。有可能他们实际上有一个基础设施来撤销访问令牌,但到目前为止它是错误的。
【讨论】: