我使用自定义授权者和JWT(jsonwebtoken)创建了无服务器应用。
我想添加列入黑名单的令牌。
效果如何?存放在哪里?如何在授权者中检查它们?
我在Google上进行了研究,但没有找到好的解决方案。
答案 0 :(得分:0)
正如其他人所述,出于安全生产目的,JWT令牌不应长期存在。使用JWT的客户端需要定期通过身份验证后端“刷新”令牌,例如每5分钟一次。因此,如果您在身份验证后端“阻止”用户,则令牌将不会刷新,并且将失去访问权限。
这就是JWT的设计方式。在此处详细了解此过程的工作原理:rollup-plugin-smart-asset
但是,如果您不关心安全性或想要在JWT上强制加入黑名单,则可以使用任何数据库机制来存储列入黑名单的令牌。我的建议是像DynamoDB这样的东西,它很便宜。
这是一个如何从DynamoDB表读取/写入数据的node.js示例:https://auth0.com/blog/refresh-tokens-what-are-they-and-when-to-use-them/