恶意用户可以使用旧的访问令牌

时间:2019-05-25 21:36:44

标签: security authentication jwt token access-token

我有这样的情况。我的用户具有管理员权限。我创建了一个持有用户特权的令牌。它的过期时间是十分钟,并且该用户是恶意用户。他/她登录,我将该令牌发送给我的用户。同时,超级管理员更改他/她的特权将删除他的管理员特权。但是,当然,该用户仍可以使用具有管理员权限的令牌。我没有从数据库检查新的用户特权,因为我有一个令牌来控制特权。但是我在这里想念吗?我正在尝试了解API服务器的基于令牌的身份验证。

0 个答案:

没有答案