我们应该在每次登录后删除还是使jwt无效?
在每次登录后,我们应该使JWT无效而不是直接删除。JWT(JSON Web Token)是一种用于身份验证和授权的开放标准,它由三部分组成:头部、载荷和签名。JWT的有效性由签名验证,一旦签名验证通过,服务器将信任该令牌。
当用户成功登录后,服务器会生成一个JWT并返回给客户端,客户端将该JWT保存在本地,通常是在浏览器的本地存储(如LocalStorage)或者Cookie中。客户端在每次请求需要身份验证的接口时,都会将JWT作为请求头或参数发送给服务器。
为了保证安全性,我们应该在每次登录后使JWT无效。这可以通过以下方式实现:
- 在用户成功登录后,服务器生成一个新的JWT,并将其发送给客户端。
- 客户端收到新的JWT后,将旧的JWT替换为新的JWT,并更新本地存储中的JWT。
- 服务器在接收到旧的JWT时,验证其有效性失败,拒绝该请求。
这样做的好处是,即使旧的JWT被截获或泄露,攻击者也无法使用它进行身份验证,因为服务器已经将其标记为无效。同时,每次登录后生成新的JWT可以增加安全性,因为旧的JWT将不再被使用。
在实际应用中,我们可以使用腾讯云的云原生产品来实现JWT的管理和验证。例如,可以使用腾讯云的API网关(https://cloud.tencent.com/product/apigateway)来验证JWT,并在每次登录后生成新的JWT。此外,腾讯云还提供了其他云原生产品,如容器服务、云函数等,可以帮助开发者构建安全可靠的云原生应用。
需要注意的是,JWT的有效期应该设置为一个合理的时间,以平衡安全性和用户体验。过长的有效期可能增加被攻击的风险,而过短的有效期可能导致频繁的重新登录。
相关·内容
1回答
Spring Security MySQL JWT Tutorial - Grokonez 现在,我有了一个用于注册和登录的端点。在注册并将用户添加到数据库后,我正在登录。对于登录端点,我将获得一个jwt令牌。使用此令牌,我可以访问受限制的资源。到现在为止,一切都很棒。现在,当我再次点击登录端点时,我得到了另一个令牌。 这就是我的困境所在。但是在良好的实践方面,我们是否应该使旧的令牌无效,这意味着在任何给定的时间点,
浏览 11提问于2018-12-21得票数 0
回答已采纳
我只是在PHP上学习JWT。我对JWT在单页上的工作原理有一点了解。当我在多个页面上实现时(页面到另一个页面)。如果每个用户移动到另一个页面,我们必须用令牌(持有者代码)填充HTTP_AUTHORIZATION,同时生成新的令牌,那么我的实现是正确的吗?
提前感谢
浏览 21提问于2021-06-04得票数 0
1回答
撤销令牌(它将令牌保存在数据库中--只需设置一个标志,说明令牌是无用的)并删除令牌。管理令牌的最佳方法是什么?我应该删除还是撤销?将来,我将使用redis来存储令牌,所以我想我应该删除这些令牌,因为在redis服务器中保存过期的数据是没有意义的。
浏览 4提问于2017-12-07得票数 18
1回答
关于JWT会话,我有一个非常普遍的问题。我是否必须总是发送我想要的操作(例如,GET请求。获取新闻文章)并在每次发送第二个操作时,如果令牌无效,则从SessionStorage中删除该令牌,并将用户重定向到登录屏幕?这似乎是一个糟糕的解决方案,因为它确实使每一个行动都复杂化
浏览 7提问于2018-01-12得票数 0
2回答
JWT刷新和访问令牌
、、、
我在我的项目中使用jwt令牌。长寿命刷新令牌,用于对受保护资源的身份验证和短期访问令牌。刷新令牌保存在仅限http的cookie中,以降低xss攻击的风险。访问令牌将只存储在我的前端的vuex存储中。但是,如何使已经发送的刷新令牌无效(例如在其他设备或浏览器上)?如果我不使用数据库来存储刷新令牌,那么只要过期时间,令牌就会有效。我很感激你的建议。
浏览 3提问于2021-10-29得票数 0
回答已采纳
3回答
我想在我的下一个项目中实现JWT。我只想知道在JWT中是否有从所有设备实现注销的最好方法。由于JWT是无状态机制,我们一定要涉及redis/db吗?
浏览 0提问于2016-04-29得票数 10
1回答
我目前正在与Jersey/Jackson合作,我很难理解我应该如何为我的应用程序的用户进行注册/登录。在开发这样的服务时,我应该考虑哪些事项?(非常重要的是它将是安全的)
谢谢。
浏览 0提问于2015-04-18得票数 1
2回答
我正在查看已实现的用于用户登录的认知功能,并希望更好地理解验证JWT的过程。我还理解验证JWT:所需的步骤。例1.刷新令牌是否仅在尝试使用它之前进行验证(以获得新的访问和
浏览 5提问于2020-01-17得票数 5
如果未通过身份验证,则重定向到‘/登录’路由。import { auth } from "./actions/auth"; ) : ( ) />此外,我的登录表单的res =&g
浏览 7提问于2019-12-03得票数 1
回答已采纳
33回答
使JSON Web令牌无效
、、、、
如何使用jwt方法从服务器提供令牌/会话无效?会话存储登录: var user = {username:should save this session token in a cookie
浏览 35提问于2014-02-24得票数 596
回答已采纳
我的问题是我可以在MongoDB中存储所有的登录细节。当我记录一个用户时,我会得到令牌,但我不确定是否会执行注销功能。登录 try { c
浏览 6提问于2022-11-03得票数 0
回答已采纳
2回答
Auth服务负责对登录用户进行身份验证,并生成JWT承载令牌。每个Service/B/C都有JWT过滤器,这些过滤器检查令牌的有效性,然后提供对Rest的访问。现在,JWT如何在Service/B/C中对黑名单中的令牌进行筛选,从而使Rest访问得到批准/不批准?如果服务部署在不同的系统中,它们如何访问无效的令
浏览 0提问于2021-07-06得票数 0
回答已采纳
我想知道在更改密码/注销时使JWT无效而不点击db的最佳实践。1.在密码更改的情况下,我检查存储在用户db中的密码(散列)。2.在注销的情况下,我将最后一次注销时间保存在用户db中,因此,通过比较令牌创建时间和注销时间,我可以使这种情况无效。
但这两种情况的代价是每次用户点击api时都会命中用户db。更新:我认为我们不能在不点击db的情况下使JWT无效。所以我想出了一
浏览 70提问于2015-02-27得票数 78
回答已采纳
0回答
在设置的非活动时间后注销用户
、、、、
我们使用Active Directory和JWT设置了身份验证。当前流:当按下登录按钮时,将调用一个端点,该端点检索与当前用户对应的令牌。如果令牌有效/检索成功,则用户已登录。当按下注销按钮时,令牌被删除,用户被重定向到登录页面。只有几个人可以访问我们的应用程序。我们希望每个登录的用户在设置的不活动时间(例如30分钟)后自动注销。我们如何才能做到这一点?这将由后端还是前端
浏览 5提问于2018-07-11得票数 1
Auth服务负责对登录用户进行身份验证,并生成JWT承载令牌。每个Service/B/C都有JWT过滤器,这些过滤器检查令牌的有效性,然后提供对Rest的访问。现在,JWT如何在Service/B/C中对黑名单中的令牌进行筛选,从而使Rest访问得到批准/不批准?如果服务部署在不同的系统中,它们如何访问无效的令
浏览 2提问于2021-07-06得票数 0
3回答
我正在我的应用程序中实现JWT,我希望使它们尽可能安全。我将列出我所计划的一切,我将非常感谢关于这个实现的安全性的任何建议。这是我的网站,我有充分的访问它的每一个方面,前端和后端。这将是一个SPA,使用API访问后端.我使用JWT来保存每次命中API时的DB调用。JWT存储在access_token cookie中。它们首先进行签名,然后使用何塞-杰沃特加密。(简写):JWT包括用户ID
JWT签名后
浏览 0提问于2016-08-12得票数 14
2回答
我希望使用基于令牌的身份验证的移动应用程序,使用户登录,只要他们还没有注销。我的方法是在用户登录/注册时创建一个JWT刷新令牌;此令牌永不过期,并继续刷新20分钟的访问令牌。我已经阅读过这样做的最佳方法,那就是在Redis上将JWT列入黑名单,以存储已撤销的密钥。但是,由于JWT永远不会过期,所以记录永远不能从Redis中删除,并且可以开始占用我大量的内存。我应该为此担心吗,还是说在这方面,Redis的记忆是有效的?是否有更好的方法可以在不过期的情况下撤销<e
浏览 3提问于2018-11-10得票数 1
回答已采纳
我使用JWT和deviceStorage登录,它运行良好,但是每次我启动应用程序时,当JWT从deviceStorage中删除后,它就像已经登录一样开始了。问题是deviceStorage中的get方法返回一个承诺,所以我需要使get方法返回空(如果为空),或者让我的程序知道它是字符串还是承诺import 'react-native-gesture-handler/src/Service/devi
浏览 3提问于2021-05-21得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
