个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
26
4
对于我正在开发的一个新的 node.js 项目,我正在考虑从基于 cookie 的 session 方法(我的意思是,将 id 存储到包含用户浏览器中的用户 session 的键值存储)切换到使用 JSON Web token (jwt) 的基于 token 的 session 方法(无键值存储)。
该项目是一个利用 socket.io 的游戏 - 在单个 session 中存在多个通信 channel (web 和 socket.io)的情况下,拥有基于 token 的 session 将非常有用
如何使用 jwt 方法从服务器提供 token / session 失效?
我还想了解我应该在这种范例中注意哪些常见(或不常见)的陷阱/攻击。例如,如果此范例容易受到与 session 存储/基于 cookie 的方法相同/不同类型的攻击。</p>
所以,假设我有以下内容(改编自 this 和 this ):
session 存储登录:
app.get('/login', function(request, response) {
var user = {username: request.body.username, password: request.body.password };
// Validate somehow
validate(user, function(isValid, profile) {
// Create session token
var token= createSessionToken();
// Add to a key-value database
KeyValueStore.add({token: {userid: profile.id, expiresInMinutes: 60}});
// The client should save this session token in a cookie
response.json({sessionToken: token});
});
}
基于 token 的登录:
var jwt = require('jsonwebtoken');
app.get('/login', function(request, response) {
var user = {username: request.body.username, password: request.body.password };
// Validate somehow
validate(user, function(isValid, profile) {
var token = jwt.sign(profile, 'My Super Secret', {expiresInMinutes: 60});
response.json({token: token});
});
}
--
session 存储方法的注销(或无效)需要更新 KeyValueStore具有指定 token 的数据库。
基于 token 的方法似乎不存在这种机制,因为 token 本身将包含通常存在于键值存储中的信息。
最佳答案
我也一直在研究这个问题,虽然下面的想法都不是完整的解决方案,但它们可能会帮助其他人排除想法,或提供进一步的想法。
1) 只需从客户端删除 token
显然,这对服务器端安全没有任何作用,但它确实通过删除 token 来阻止攻击者(即,他们必须在注销之前窃取 token )。
2) 创建 token 阻止列表
您可以存储无效 token 直到其初始到期日期,并将它们与传入请求进行比较。但这似乎否定了首先完全基于 token 的原因,因为您需要为每个请求触摸数据库。不过,存储大小可能会较小,因为您只需要存储注销和到期时间之间的 token (这是一种直觉,并且绝对取决于上下文)。
3)只需缩短 token 到期时间并经常轮换
如果您将 token 过期时间保持在足够短的间隔内,并且让正在运行的客户端在必要时跟踪并请求更新,则第 1 号将有效地作为完整的注销系统工作。此方法的问题在于,它无法在客户端代码关闭之间保持用户登录状态(取决于您设置的到期间隔有多长)。
应急计划
如果出现紧急情况或用户 token 被泄露,您可以做的一件事是允许用户使用其登录凭据更改底层用户查找 ID。这将使所有关联的 token 无效,因为将无法再找到关联的用户。
我还想指出,最好在 token 中包含上次登录日期,以便您能够在一段时间后强制重新登录。
就使用 token 的攻击的相似/差异而言,这篇文章解决了以下问题:https://github.com/dentarg/auth0-blog/blob/master/_posts/2014-01-07-angularjs-authentication-with-cookies-vs-token.markdown
关于javascript - 使 JSON Web token 失效,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58583057/
26
4
0
最近开始学习MongoDB。今天老师教了我们 mongoexport 命令。在练习时,我遇到了一个典型的问题,包括教练在内的其他同学都没有遇到过。我在我的 Windows 10 机器上使用 Mongo
我是 JSON Schema 的新手,读过什么是 JSON Schema 等等。但我不知道如何将 JSON Schema 链接到 JSON 以针对该 JSON Schema 进行验证。谁能解释一下?
在 xml 中,我可以在另一个 xml 文件中包含一个文件并使用它。如果您的软件从 xml 获取配置文件但没有任何方法来分离配置,如 apache/ngnix(nginx.conf - site-av
我有一个 JSON 对象,其中包含一个本身是 JSON 对象的字符串。我如何反序列化它? 我希望能够做类似的事情: #[derive(Deserialize)] struct B { c: S
考虑以下 JSON { "a": "{\"b\": 12, \"c\": \"test\"}" } 我想定义一个泛型读取 Reads[Outer[T]]对于这种序列化的 Json import
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 11 个月前关闭。 Improve
我的旧项目在 MySQL 中有 Standard JSON 格式的数据。 对于我在 JS (Node.js) 和 DynamoDB 中的全新项目,关于 Standard JSON格式: 是否建议将其转
JSON 值字符串、数字、true、false、null 是否是有效的 JSON? 即,是 true 一个有效的 JSON 文档?还是必须是数组/对象? 一些验证器接受这个(例如 http://jso
我有一个 JSON 字符串,其中一个字段是文本字段。这个文本字段可以包含用户在 UI 中输入的文本,如果他们输入的文本是 JSON 文本,也许是为了说明一些编码,我需要对他们的文本进行编码,以便它不会
我正在通过 IBM MQ 调用处理数据,当由 ColdFusion 10 (10,0,11,285437) 序列化时,0 将作为 +0.0 返回,它会导致无效的 JSON并且无法反序列化。 stPol
我正在从三个数组中生成一个散列,然后尝试构建一个 json。我通过 json object has array 成功了。 require 'json' A = [['A1', 'A2', 'A3'],
我从 API 接收 JSON,响应可以是 30 种类型之一。每种类型都有一组唯一的字段,但所有响应都有一个字段 type 说明它是哪种类型。 我的方法是使用serde .我为每种响应类型创建一个结构并
我正在下载一个 JSON 文件,我已将其检查为带有“https://jsonlint.com”的有效 JSON 到文档目录。然后我打开文件并再次检查,结果显示为无效的 JSON。这怎么可能????这是
我正在尝试根据从 API 接收到的数据动态创建一个 JSON 对象。 收到的示例数据:将数据解码到下面给出的 CiItems 结构中 { "class_name": "test", "
我想从字符串转换为对象。 来自 {"key1": "{\n \"key2\": \"value2\",\n \"key3\": {\n \"key4\": \"value4\"\n }\n
目前我正在使用以下代码将嵌套的 json 转换为扁平化的 json: import ( "fmt" "github.com/nytlabs/gojsonexplode" ) func
我有一个使用来自第三方 API 的数据的应用程序。我需要将 json 解码为一个结构,这需要该结构具有“传入”json 字段的 json 标签。传出的 json 字段具有不同的命名约定,因此我需要不同
我想使用 JSON 架构来验证某些值。我有两个对象,称它们为 trackedItems 和 trackedItemGroups。 trackedItemGroups 是组名称和 trackedItem
考虑以下案例类模式, case class Y (a: String, b: String) case class X (dummy: String, b: Y) 字段b是可选的,我的一些数据集没有字
我正在存储 cat ~/path/to/file/blah | 的输出jq tojson 在一个变量中,稍后在带有 JSON 内容的 curl POST 中使用。它运作良好,但它删除了所有换行符。我知
我是一名优秀的程序员,十分优秀!