似乎Instagram在其身份验证系统中不使用jwt(Json网络令牌)。
如您所知jwt是一种更安全的用户身份验证方式,而不是基于会话的系统。在jwt令牌存储在数据库中,存储每个请求,我们会在localStorage中发送令牌以进行验证。因此,如果您从一个帐户注销(对于Chrome中的ex),您必须在其他平台(例如android app等)中注销。
但在Instagram 中,这种情况不会发生。这是否意味着Instagram不使用基于令牌的身份验证?或许我无法理解。
答案 0 :(得分:1)
代币可以分为两类:
JWT属于第二类。可能的优点是它们避免了数据库调用,并且没有执行清理,因为它们的生命周期很短。
然而,说JWT比其他令牌更安全是不正确的。 当在服务器和客户端之间交换令牌时,主要安全漏洞来自该令牌在发出时或每个请求的传输,而不是来自令牌本身。
因此,如果您从一个帐户注销(对于Chrome中的ex),您必须在其他平台(例如Android应用程序等)中注销。
这种功能主要取决于服务器策略。 例如,当用户从浏览器注销时,他可能需要登录其应用程序。
如果您希望用户在每个客户端上注销,那么服务器必须提供具有注销系统的会话管理,例如OpenID Connect规范所描述的那些