注销/使 JWT 无效

Question

我通过在自定义登录 API 中生成 JWT（JSON Web 令牌）在 Azure 移动服务中使用自定义身份验证。用户拥有 JWT 后，在达到其编码到期时间之前，它都是有效的。

除了在每个经过身份验证的请求上根据会话表显式检查 JWT 令牌之外，还有一种方法可以在 JWT 令牌到期时间之前使其失效（就像用户注销时会发生的那样），以便使用该令牌发出的任何后续请求X-ZUMO-AUTH 标头中的值永远不会到达任何表 API 或自定义 API 脚本？

Answer 1

没有。注销用户并使 JWT 令牌无效的唯一方法是将其从会话表中移除/删除。这就是你已经在做的方式。

Answer 2

支持 JWT 失效（总有原因）：

我最终为每个用户存储了一个唯一的字符串，我使用全局公共字符串进行哈希处理，因此我可以根据需要使单个用户的令牌或所有令牌无效。

Answer 3

不是真的。当用户在客户端注销时，它使用的 JWT 并没有真正失效——它只是从客户端的内存中删除（例如，参见 the managed SDK 上的代码）。 JWT 验证是通过根据移动服务的主密钥检查其签名来完成的，除非此密钥被更改（这将使您的服务的所有 JWT 令牌无效，我认为这不是您的想要），令牌将一直有效，直到它过期。

由于您自己生成 JWT，您可以考虑使用更短的过期时间，这可能对您的情况有所帮助。

您也可以在mobile service's feedback forum 中推荐此功能。我创建了one related feature suggestion，您也可以考虑添加评论并投票。