In che modo la lista nera e l'accesso ai blocchi di accesso sono immuni tramite JWT?

0

Ho letto OAuth2 e la sua statelessness utilizzando JWT come token. Il token scade in base al tempo scaduto, quindi come posso controllare il token come lista nera e bloccarne l'accesso immediatamente senza essere in stato?

Per quanto ho trovato la soluzione è necessario un database che memorizzi la lista nera dei token. Allora qual è il diverso con l'approccio stateful?

    
posta Yosua Lijanto Binar 03.01.2018 - 10:59
fonte

1 risposta

1

Questo è in realtà uno degli avvertimenti di JWT completamente privi di stato. Non puoi invalidare un token specifico. Puoi invalidarli tutti cambiando il tuo segreto sul server, tuttavia questa operazione revocherà tutte le JWT, non solo una sola.

Se desideri introdurre la lista nera, sfortunatamente non hai altra scelta che introdurre un id nel payload del tuo token e verificarne lo stato rispetto a qualche tipo di database, come hai sottolineato.

    
risposta data 03.01.2018 - 11:16
fonte

Leggi altre domande sui tag