我正在设计一个微服务并希望它成为无状态。为此,我不想使用JWT,因为像null算法这样的库存在一些安全问题。我的设计是拥有一个公共会话存储[就像一个缓存]。为此,我将使用加密算法来加密我的uid。 但我的问题是,如果我想要使用户无效,比如注销机制,我希望用户登录网络,但退出移动设备,我该怎么做。让用户拥有多个设备,我该如何处理这种情况。
如何保护我的令牌/ cookie免受会话劫持的影响,如果我的设计存在任何安全漏洞,请帮助我。我一直在阅读多个博客,但所有这些问题都让我感到震惊,如果我的设计很好,就无法判断自己。
答案 0 :(得分:0)
如果您只想从一个会话(设备)注销,则可以实现使用JWT和无状态的服务。但是,如果您使用Redis缓存进行常见会话,则根据定义,您的服务器将不会是无状态的。无国籍者的目标是什么?