-1

您好,我有一个应用程序在登录时为用户生成 JWT 令牌。但问题是如果用户使用新设备登录,我想将以前的 JWTtoken 添加到黑名单中。问题是当用户再次登录时,我不知道如何获取之前的 JWTtoken。有什么建议么?

4

1 回答 1

0

这里最大的问题是用户如何将 JWT 从一台设备带到另一台设备?您应该尽最大努力隐藏 JWT,主要在请求标头中使用它。

但是,如果您要使 JWT 可访问,则有两种方法可以解决此问题。

  1. JWT 过期策略 - 这是最常见的技术,JWT 在一定时间后过期,用户必须重新登录。为什么这不能直接解决切换设备的问题,它应该可以防止大多数情况

  2. 设备属性 - 当您生成 JWT 时,为设备类型“pc”、“mobile”、“tablet”等添加一个属性,并检查该属性是否与用户的当前设备匹配。您可以向执行此操作的路由器添加授权步骤。

于 2021-01-07T13:43:04.133 回答