我需要存储一个列入黑名单的令牌,到目前为止,我看到的示例是关于将它们存储在redis中,如果它们没有列入黑名单,那么应用程序会查询另一个数据库,如mongo以获取用户。 我想将它们存储在带有jti声明的用户的子文档中,这是一个好主意,实际上用户可以拥有多少个列入黑名单的令牌。
答案 0 :(得分:0)
如果使用jti声明也可以缓解重播攻击,那么基本上您希望在处理一次后将所有 黑名单。因此,即使是每个用户,您的列表也会变得很大。
总的来说,我没有看到以每个用户为基础存储黑名单令牌的好处。相反,在扩展方面,如果您以后想要将黑名单功能隔离到独立的服务/架构中,可能会限制您,这可能就是为什么您会看到其他人这样做的原因。