devise_token_auth 文档说“令牌应该在每次向 API 发出请求后失效。” https://github.com/lynndylanhurley/devise_token_auth/blob/master/docs/conceptual.md#about-token-management
但为什么?如果令牌在每次请求后都没有失效,会有什么风险?例如,如果令牌在请求后一两分钟内有效怎么办?或者,如果令牌保持有效一两个星期?
问问题
37 次
1 回答
0
devise_token_auth生成的令牌是凭证令牌:它总结了您的登录名和密码;所以有了这个唯一的字符串,你可以在你的应用程序上识别自己。
为了最安全,您必须尽快使此令牌无效:只要令牌有效,有人就可以使用它来访问您珍贵的培根。
在用户的每个请求上使令牌失效很容易:每次我与你交谈时,你,我给你我当前的令牌,当你回答时,你给我一个新的令牌,让我可以继续与你交谈。
但是使用另一种机制会让你付出代价:每次我和你说话时,我都会给你我的令牌,你必须进行计算(=> CPU)来检查我上次和你说话的时间(所以你也有存储(=> 内存)该信息)。
这是我对原因的理解
于 2020-05-26T16:24:38.733 回答