问JTI如何防止JWT被重放？

EN

问得好。我觉得RFC的文字有点混乱。

如果JWT在某些API调用中被截获，当然可以一次又一次地使用这个令牌(除非应用程序创建一次使用JWT，但这种类型的标记违背了JWT的目的)。这不是JTIs所保护的“重播攻击”。

密码学上没有"可以只使用一次"，所以它只是一个“现在”，也就是说它不应该在两个单独的JWT合成中使用。他们更喜欢TLS证书序列号。

我想说的是，JTIs使对API开发人员做两件事变得更容易：

• 存储与特定JWT相关的其他信息服务器端:谁请求它，从哪里，使用了多少次，等等。
• 创建服务器端JWT撤销列表。如果存在识别主动滥用的机制，这肯定会使应用程序更加安全。

• JTI如何防止JWT被重放？
• JTI字段应该多久再生一次？每一次请求？还是只在新令牌生成时？

我相信这两个问题的答案将取决于应用程序本身。

例如，如果它已被编程为只接收具有唯一JTI的消息，则应用程序可以忽略相同JTI的重播。

在这种情况下，当JTI对重复相同的消息有效时，将重新生成JTI。

我认为，应用程序应该有某种存储实现，以便将JWT令牌与服务器已经接收到的现有JTI令牌交叉检查。

存储实现可以是一个缓存内存，其中已经使用过的JTI值将被存储。而且，这种验证也有权使用过期时间，因此不需要有更大的存储空间来存储JTI。

保存在缓存中的JTI ID将根据任何新传入的JTI ID进行检查。除非缓存已满，否则存储在缓存中的JTI ID不会被丢弃。

有关更多信息，请参阅下面的链接：https://www.ibm.com/support/knowledgecenter/en/SSEQTP_cwlp/com.ibm.webSpheree.wlp.doc/ae/cwlp_jwttoken.html