在我们的应用程序中,每次用户发送请求时,都会在cookie中返回新的JWT令牌,即使之前的生命周期仍然很长。如果用户在短时间内发出多个请求,则每个存在多个有效令牌几乎完整的生命周期。浏览器当然使用最新的浏览器,但有人可能仍然使用之前的模拟用户。
在调度新令牌时是否有办法使前一个令牌无效,或者只有在最后一个令牌没有多少生命周期时才发送新令牌?
答案 0 :(得分:3)
使[&#39]无效的唯一方法令牌是通过有条不紊地跟踪它们。
这通常意味着执行诸如保持令牌的键/值缓存有效且无效,以及在每个请求上针对这些列表检查传入请求令牌之类的操作。
以这种方式做事的缺点是你失去了很多无国籍的人。 JWT的好处(因为您仍在检查集中存储的令牌有效性),但好处是您可以更安全'通过立即撤销令牌,你不再需要服务。
一种解决方法是让您的访问令牌非常短暂(大约5分钟左右),以尽量减少滥用行为。