【发布时间】:2019-02-23 17:19:22
【问题描述】:
根据 Matt Way 在这篇文章中的回答:Invalidating JSON Web Tokens
关于使用令牌黑名单的#2 解决方案,但我有一个问题是服务器如何准确地知道旧令牌并将其添加到黑名单中。例如:当我登录时,我从服务器收到“ABCD”令牌,服务器不会将此令牌保存在任何地方。然后我更改密码(或注销),服务器应该向我发送一个像“EFGH”这样的新令牌并使旧的“ABCD”无效(通过将“ABCD”添加到黑名单直到它过期)但问题是服务器如何知道“ABCD” " 旧令牌添加到黑名单?
【问题讨论】:
标签: node.js authentication jwt access-token