Jwt 将过期代币放入黑名单表是一个好主意吗?
首先,这是我当前的身份验证流的外观Jwt 将过期代币放入黑名单表是一个好主意吗?,jwt,refresh-token,Jwt,Refresh Token,首先,这是我当前的身份验证流的外观 用户登录 用户获得分配并存储在数据库中的刷新令牌(长寿命7d) 客户机收到一个accestoken(短期,2h),并将其存储为cookie。客户端还接收加密的用户ID AES,并存储 它就像一块饼干 只要访问令牌未过期,用户将继续使用令牌浏览网站 令牌过期 过期的访问令牌被发送到刷新端点,用户标识(Aes加密)也被发送到刷新端点,这两个标识当前都存储在out Cookie中 服务器解密用户ID并通过使用out userId从数据库中选择刷新令牌来检索与用户对应
- SSL证书
- 过期令牌和重新生成
- 苛刻的要求
这在jwt令牌身份验证中是不可能的。可能是在oauth工具中实现的。