我使用自定义授权器和 JWT ( jsonwebtoken) 创建无服务器应用程序。
我想添加列入黑名单的令牌。
怎么做最好?在哪里存放它们?如何在授权人中检查它们?
我在谷歌进行了研究,但没有找到好的解决方案。
问问题
554 次
1 回答
0
正如其他人所提到的,出于安全生产目的,JWT 令牌不应长期存在。使用 JWT 的客户端需要定期使用身份验证后端“刷新”令牌,例如每 5 分钟一次。因此,如果您在身份验证后端“阻止”用户,令牌将不会刷新并且将失去访问权限。
这就是 JWT 的设计方式。在此处阅读有关此过程应如何工作的更多信息:https ://auth0.com/blog/refresh-tokens-what-are-they-and-when-to-use-them/
但是,如果您不关心安全性或者您想在 JWT 上强制加入黑名单,您可以使用任何数据库机制来存储列入黑名单的令牌。我的建议是 DynamoDB,它非常便宜。
这是如何从 DynamoDB 表读取/写入数据的 node.js 示例:https ://docs.aws.amazon.com/sdk-for-javascript/v2/developer-guide/dynamodb-example-table-read-写.html
于 2020-07-08T21:29:46.087 回答