1

我目前正在开发一个 API,经过一段时间后,我现在了解了如何在 Go 中使用 JWT 来获取令牌。使用此令牌,我可以保持用户连接,但是如何从客户端应用程序中注销?

这是我的token.go代码:

package main

import (
    "github.com/dgrijalva/jwt-go"
    "time"
)

const (
    tokenEncodeString = "something"
)

func createToken(user User) (string, error) {
    // create the token                                                                                                                                                                                  
    token := jwt.New(jwt.SigningMethodHS256)

    // set some claims                                                                                                                                                                                   
    token.Claims["username"] = user.Username;
    token.Claims["password"] = user.Password;
    token.Claims["exp"] = time.Now().Add(time.Hour * 72).Unix()

    //Sign and get the complete encoded token as string                                                                                                                                                  
    return (token.SignedString([]byte(tokenEncodeString)))
}

func parseToken(unparsedToken string) (bool, string) {
    token, err := jwt.Parse(unparsedToken, func(token *jwt.Token) (interface{}, error) {
            return []byte(tokenEncodeString), nil
    })

    if err == nil && token.Valid {
            return true, unparsedToken
    } else {
            return false, ""
    }
}

经过研究,我发现我可以使用黑名单,但我真的很想知道是否可以使用更简单的方法,比如上面的代码。

我还想找到一个适用于 JWT 进程使用的内存的解决方案。一直断开/连接自己的人每次会话必须只有一个令牌,而不是他的一个,给定黑名单中的一百个。

4

1 回答 1

4

首先:不要(永远)将敏感凭据放入令牌中。它们没有加密,您不需要这样做。

要注意:

  • JWT 是无状态的:您发布一个,只要您允许/正在服务器上进行验证,它就会一直存在。
  • 您可以发出“现在”到期的新 JWT,但旧 JWT 仍然有效(即存在安全风险)。
  • 通读http://jwt.io/introduction/

如果您需要在颁发后控制过期的访问令牌,那么您应该实现一个服务器端方案,这将允许您直接使令牌过期。用户将只持有一个引用服务器端存储的 ID。

于 2016-03-29T21:45:19.663 回答