JWT使用数据库处理过期
我最近一直在思考同一个问题,想知道我的令牌解决方案是否有什么重大缺陷:
- 将过期时间设置为较低值(约15分钟)
- 每个生成的JWT也被添加到每个用户的“issuedTokens”集合/表中
在 JWT 验证期间,如果过期已过,将从服务器返回“过期”响应(例如,正文中带有“过期”的 401)。当客户端收到此状态时,它应该启动一个刷新过程,该过程将过期的令牌换成新的令牌。
服务器上的刷新endpoint应采用过期令牌并执行以下操作:
- 验证令牌(到期除外)
- 检索用户ID并检查令牌是否在其发布的令牌集合中
- 发布新的JWT
- 从集合中删除过期的令牌并添加新的令牌
如果这些步骤中的任何一个失败,应向客户端发送未经授权的错误,然后需要再次登录。
为了防止不断累积已颁发的令牌,我们可以在issued tokens集合中的令牌上设置TTL。将TTL值设置为在要求再次登录之前登录应该处于活动状态的时间。
此方法不会命中数据库,除非您继续尝试刷新过期的令牌。在这种情况下,您可以使用失败令牌的缓存黑名单。如果将其视为缓存层,则可以驻留在应用程序本身旁边。
这绝对只是我即将测试的一个正在进行的解决方案。让我知道你的想法。
共有1个答案
我认为这种方法有几个问题。首先,如果我能够窃取任何人的JWT令牌,我可以通过调用您的endpoint来不断获得新的令牌。
例如,OAuth2 通过使用刷新令牌时要求客户端发送客户端凭据来缓解此问题。某些公共客户端库使用客户端和授权服务器(而不是资源 (API) 服务器)之间的会话 cookie 来续订令牌。
另一个问题当然是所有JWT令牌的集合,这就像一个凭证数据库。如果有人设法窃取了它,他们将以您的任何用户的身份访问您的应用程序。
使用自己的身份验证机制是非常困难的,因此风险很大。
-
我尝试使用docker容器oscarfonts/h2将h2与r2dbc一起使用。默认情况下,在使用此容器时,我们必须使用tcp协议, 当我尝试将其用于r2dbc时。我得到了明确的以下错误消息: 由于类java.lang.IllegalArgumentException重试获取数据库连接:不支持协议选项tcp(file, mem) 文档r2dbc h2说它应该与tcp协议一起工作。是吗? 使用Spr
-
问题: 怎样使用数据库事务处理? 解决: 数据库对象有一个方法“transaction”,将启动一个新的事务,并返回事务对象。这个事务对象可以使用commit提交事务或rollback来回滚事务。 import web db = web.database(dbn="postgres", db="webpy", user="foo", pw="") t = db.transaction() try
-
问题内容: 我有很多关于在Android应用程序中处理异步数据库的问题。 由于我知道数据库是异步的,因此我尝试了几种方法来处理它。如您在代码中所见,我有两个函数需要在数据库中使用数组。我的第一个函数()将对数据库中的数组应用更改,而我的第二个函数()需要将此数组与从我的第一个函数中应用的更改一起使用。这是我的代码: 这是setArray_for_database的代码: 这是我的把戏。具有另一个内
-
关于函数使用,与带来的问题。 函数 函数主要给数据提供处理与转换方便。 大多数SQL实现的函数 用于处理文本串(删除,充值,大小写转换) 用于在数值的数据上进行算术(返回绝对值,代数运算)操作。 用于处理日期时间值并从这些值中提取特定成份。 返回DBMS正使用的特殊信息(用户登录信息)。 文本处理函数 使用UPPER()函数来转换大小写。 mysql> SELECT vend_name, UPPE
-
本文向大家介绍Qt-处理Sqlite数据库,包括了Qt-处理Sqlite数据库的使用技巧和注意事项,需要的朋友参考一下 示例 在Project.pro文件中,我们添加:CONFIG += sql 在MainWindow.h我们写道: 现在在MainWindow.cpp:
-
本文向大家介绍Qt-处理ODBC数据库,包括了Qt-处理ODBC数据库的使用技巧和注意事项,需要的朋友参考一下 示例 在Project.pro文件中,我们添加:CONFIG += sql 在MainWindow.h我们写道: 现在在MainWindow.cpp: