令牌未知时将JSON Web令牌列入黑名单

时间:2018-12-06 17:12:45

标签: authentication jwt

我知道这里的相关讨论:Invalidating JSON Web Tokens,但是在某些用例中,令牌是未知的。

如果管理员删除用户或更改用户权限,则管理员不知道用户拥有什么令牌。我们需要保留一个数据库,其中包含所有已发布的活动令牌及其关联的用户。那么,JWT与任何简单的身份验证令牌(它可以对数据进行编码,是的,还有其他什么)相比有什么意义?

或者即使对于已删除的用户,令牌也应保持有效,后端应始终检查用户是否存在以及其拥有的权限。

第二种选择是解决此问题的正确方法吗?

0 个答案:

没有答案