在没有黑名单的情况下使 Jwt 令牌无效

Question

我想使刷新 jwt 令牌在不使用轮换的情况下维护已用刷新令牌的黑名单，为此我想在每当检测到 2 个刷新令牌正在以不同的轮换数使用时，服务器生成并存储的 RT（例如，普通用户从他的最后一个请求中获得的 RT2 和恶意用户在使用旧 RT2 发送恶意请求后生成的 RT3 )。

一旦服务器发现一个 RT2 正在使用，而最新的一个是 RT3。服务器应该“无效”之前的令牌，并在用户使用他的密码重新连接时发出一个新的RT。令牌无效的过程只是改变新生成的令牌中的ValidationCode，并接受任何令牌有效的请求 + 有效负载中的验证码与该用户存储在服务器中的验证码相匹配。

如果使用这种方法，如果恶意用户再次尝试使用 RT3，即使 jwt 令牌有效，ValidationCode 现在已更改，它将与服务器中的不匹配，但新生成的令牌会。

这种方法是否安全且足以取代将旧令牌列入黑名单？我认为这违背了最初使用 jwt 的目的 + 浪费时间和内存来存储列表和在数据库中查询

Answer 1

您在此处描述的是一种解决方案，您可以将用户使用的最新 RT 保留在数据库中，并仅允许刷新请求将 RT 保存在数据库中。这是一种有效的方法，但它有一个缺点：您只能为用户拥有一对活动的 AT/RT。如果这对您来说没问题，那么您可以使用此解决方案。

浪费时间和内存存储列表和在数据库中查询

无论哪种方式，您都必须查询数据库，因此不会有太大变化。你得到的是一点存储空间。