【发布时间】:2018-02-18 20:39:03
【问题描述】:
我目前正在尝试围绕 JSON Web Tokens 进行思考,并确保我不会在自己(和我的用户)的脚下开枪。因此,我遇到了Stop using JWT for sessions 的帖子,更具体地说,是the rebuttals to counterpoints。
其中一个反对点是,可以通过设置较短的过期时间和使用刷新令牌来允许用户获取新令牌而无需再次登录来解决无法使令牌失效的问题。对此的反驳是“你不能撤销长期令牌,这意味着你回到了原点。”
为什么不能撤销长期代币?是否不需要将它们传递给身份验证服务器,该服务器可以检查无效令牌列表(或者只是从其数据库中删除刷新令牌)然后不提供新的 JWT? p>
【问题讨论】: