背景
我正在尝试使用JSON Web令牌在我的Web应用程序中实现令牌身份验证。
无论我最终使用什么策略,都有两件事情我想要保持:无状态和安全。然而,从阅读这个网站上的答案和互联网上的博客文章来看,似乎有一些人认为这两个属性是互相排斥的。
在试图保持无状态时会出现一些实际细节。我可以想到以下几点:
- 在其到期日期之前按用户基础使被攻击的令牌失效。
- 允许用户一次性注销所有机器上的所有“会话”,并立即生效。
- 允许用户注销当前机器上的当前“会话”,并立即生效。
- 使用户记录上的权限/角色更改立即生效。
当前策略
如果您在JWT中使用“发行时间”声明并与表示用户记录的数据库表中的“上次修改”列结合使用,则我认为可以优雅地处理上述所有问题。
当进行身份验证时,您可以查询数据库以获取用户记录,并执行以下操作:
if (token.issued_at < user.last_modified) then token_valid = false;
如果您发现有人侵犯了用户的帐户,那么用户可以更改他们的密码并更新
last_modified
列,从而使之前颁发的令牌失效。这也解决了权限/角色更改不立即生效的问题。另外,如果用户要求立即注销所有设备,则需要更新
last_modified
列。最后一个问题是每个设备的注销。然而,我认为这甚至不需要访问服务器,更不用说访问数据库了。注销操作是否可以触发一些客户端事件监听器以删除保存JWT的安全cookie呢?
问题
首先,你是否看到上述方法中的任何安全漏洞? 我是否忽略了某些易用性问题?一旦解决了这个问题,我真的不喜欢每次有人访问安全终点时都要查询数据库,但这是我能想到的唯一策略。 有没有人有更好的想法?