JWT 似乎不是 REST API 的安全解决方案答案

【问题标题】：JWT seems to be not secure solution for a REST APIJWT 似乎不是 REST API 的安全解决方案
【发布时间】：2020-09-23 22:02:45
【问题描述】：

我正在开发一个 REST API，但 JWT 在我看来是错误的。我们都称它们为“无状态令牌”，但实际上它们带来了很多问题。

我们都说，它们不应该存储在数据库或内存缓存解决方案中。但是对我来说，该 API 有 3 个核心条件，请告诉我如何在不访问/存储在 DB 中的情况下实现它们。

如果我们在每个请求中针对这些条件进行数据库/缓存查找，JWT 是一个完全没用的解决方案，不是吗？

【问题讨论】：

【解决方案1】：

我不相信 JWT 允许像您正在寻找的那样强制到期。您希望使用的更多的是参考令牌，可以在这里找到https://identityserver4.readthedocs.io/en/latest/topics/reference_tokens.html?highlight=reference。

话虽如此，JWT 仍然非常有用。但是，它们最好在非常短的到期日内实施。

【讨论】：

我看到很多 API 以错误的方式使用 JWT。因为，我在上面提到的条件对于 REST API 来说是非常常见的东西。如果您设置非常短的到期日期，那仍然不能提供正确的东西。一分钟就是一分钟。它应该失效，这是一个安全漏洞。
您可能会在 blog.logrocket.com/jwt-authentication-best-practices 找到一些关于如何使 JWT 令牌“过期”的答案。但是，这不是 JWT 框架中内置的逻辑，而是您必须在其之上构建的东西。 JWT 代币非常有用，但它们确实有一些权衡，必须接受其风险。
如果我为这些 JWT 令牌使用 Redis 白名单。会是什么？很难扩展吗？
我不确定。当我们需要严格的使任何令牌过期的能力时，我们会使用引用令牌。我之前没有使用过 Redis 缓存。
这个引用令牌是直接存储在数据库中的吗？