我有一个用于用户身份验证的应用程序,我遇到了这个问题,我有登录的用户并将 JWT (JsonWebToken) 存储在 cookie 中。我在验证用户后存储了 cookie。接下来,我作为管理员,在他/她仍然登录时从数据库中删除该用户。由于用户仍然登录,用户在浏览器中具有有效的 JWT,所以它仍然认为它存在,因为我的方式验证用户是否通过 webtoken 登录。我一直在考虑如何解决这个问题,但我还没有想出任何办法。
我还在GitHub 上发布了这个问题。
问问题
92 次
2 回答
1
当用户情况发生变化并且您无法从 localStorage/cookie 中删除时,有几种技术可以在 JWT 令牌到期之前使其失效:帐户已删除/阻止/暂停、密码已更改、权限已更改、用户由管理员注销:
令牌黑名单:存储在注销和过期时间之间的令牌,标记过期并在每个请求中检查它。您需要服务器存储。您可以仅包含 ID 或使用发布时间字段。在用户上次更新之前发行的令牌将无效
到期时间短并轮换它们。每隔几个请求发出一个新的。问题是在没有请求时保持用户登录(例如关闭浏览器)
其他常用技术:
- 如果帐户被新用户和密码登录所破坏,则允许更改用户唯一 ID
- 包括上次登录日期以删除旧令牌
- 要在用户更改密码时使令牌无效,请使用密码哈希对令牌进行签名。如果密码更改,任何以前的令牌都会自动验证失败。将此机制扩展到其他感兴趣的领域以进行签名。缺点是它需要访问数据库
于 2016-07-25T06:58:33.320 回答
0
一种方法是通过将其过期时间戳设置为已经过去的日期来使 cookie 过期。
于 2016-07-23T17:01:45.987 回答