摘要:而且這樣做的話,會(huì)存在多個(gè)令牌同時(shí)有效�����,可能會(huì)引起一些安全問(wèn)題�。這種做法也是很多人采用的一種���。對(duì)于續(xù)期的話�����,個(gè)人覺(jué)得第二種方案是比較好的一種方案��。而退出的話��,如果不考慮泄露的問(wèn)題���,那么第一種方案是比較好的一種方案。這些都是自己對(duì)的一些理解�。
在使用jwt的過(guò)程中發(fā)現(xiàn)了兩個(gè)問(wèn)題續(xù)期和退出的問(wèn)題。
續(xù)期
因?yàn)?b>jwt的token在簽發(fā)之后是有過(guò)期時(shí)間的�,所以就存在管理這個(gè)過(guò)期時(shí)間的問(wèn)題。我看網(wǎng)上有提出解決方案的大致有下面幾個(gè)
每次更新過(guò)期時(shí)間�����,跟session一樣,每次請(qǐng)求的時(shí)候都會(huì)去更新下token過(guò)期時(shí)間.但是對(duì)于jwt來(lái)說(shuō)����,更新過(guò)期時(shí)間就意味著jwt的token會(huì)變,那么前端就需要每個(gè)請(qǐng)求都去保存一次新的token。這樣使得前端的工作變的復(fù)雜起來(lái)�����。而且這樣做的話����,會(huì)存在多個(gè)令牌同時(shí)有效,可能會(huì)引起一些安全問(wèn)題�。
還有一個(gè)就是每隔一段時(shí)間去更新一次token。這種做法也是很多人采用的一種��。比如:token過(guò)期時(shí)間是一個(gè)小時(shí)���。預(yù)設(shè)每五十五分鐘去更新token��。這種模式也是需要前端去配合完成的��。
退出
因?yàn)?b>token在簽發(fā)之后在一段時(shí)間內(nèi)是一直有效的����,那么這種情況,我們?cè)趺慈ス芾淼浅瞿兀?/p>
簡(jiǎn)單的方式就是客戶端直接刪除token���。但是這樣的話��,如果token泄露了也是不安全的���。
有人提出退出的時(shí)候?qū)?b>token存放在redis中,過(guò)期時(shí)間設(shè)置為跟token的時(shí)候一樣����。當(dāng)用戶在次用舊的token訪問(wèn)的時(shí)候,如果發(fā)現(xiàn)redis中存在token�����,那么提示token過(guò)期�����。
對(duì)于續(xù)期的話���,個(gè)人覺(jué)得第二種方案是比較好的一種方案�。而退出的話,如果不考慮泄露的問(wèn)題���,那么第一種方案是比較好的一種方案�。但是如果做SSO的話可能第二種方案是比較好的一種�����,但是在用到了redis之后就違背了jwt的設(shè)計(jì)初衷���,需要與數(shù)據(jù)庫(kù)交互�����。
其實(shí)個(gè)人覺(jué)得����,jwt的加密方式結(jié)合redis這種也是可以采用的����。畢竟這些都是為了解決問(wèn)題。當(dāng)利用到redis之后���,我們就可以將jwt擴(kuò)展下�����。在payload部分加載一個(gè)生成的refresh token �����,這個(gè)refresh token也是有過(guò)期時(shí)間的���,我們需要將這個(gè)refresh token存放在redis中�。這樣的話�,我們就可以把jwt的過(guò)期時(shí)間放在這個(gè)refresh token中維護(hù)。續(xù)期也就是維護(hù)這個(gè)refresh token的過(guò)期時(shí)間��,退出的話 也就是刪除這個(gè)refresh token就可以了��。
其實(shí)這樣的話就跟傳統(tǒng)的token驗(yàn)證一樣了�����,也就是外層加了一個(gè)jwt的驗(yàn)證��。
可能是我對(duì)于這方面了解的比較少��,不能想到什么有效的方案���。這些都是自己對(duì)jwt的一些理解�。如果哪位大佬有更好的方案�,希望賜教。感謝
文章版權(quán)歸作者所有����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/29510.html
