我无法在这个问题上弄清楚,但是我知道JWT令牌是自包含的,具有自己的到期时间。通常,黑名单中可能包含“过期”令牌,并且如果该令牌在此处列出,则会阻止访问该路由。
我想知道,如果使用aws cognito并调用注销端点,那是否真的将aws端的JWT令牌列入了黑名单?有访问令牌和刷新令牌,所以两者都将失效吗?还是用户可以使用令牌登录,直到达到令牌中的到期时间?
答案 0 :(得分:1)
不,不是。调用LogOut端点将使您与Hosted UI / Oauth端点进行的任何会话均无效。
另一种选择是调用globalSignOut [1],这将使所有用户的访问和刷新令牌无效(用于Cognito API)。
但是,JWT令牌仍然有效,并且正如您所提到的,它们是自包含的。您自己的服务器无法以可伸缩的方式检查令牌的内置黑名单。如果需要,这是您需要自己实现的东西。
[1] https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GlobalSignOut.html