gpt4 book ai didi

JWT jti 唯一性

转载 作者:行者123 更新时间:2023-12-05 01:45:11 26 4
gpt4 key购买 nike

我在理解应该如何在 JWT 中使用 jti 声明时遇到一些问题。据我在其他 SO 问题和在线文档中看到的,想法是它们应该是独一无二的,但在什么范围内是独一无二的?每个站点/应用程序一个 jti?每个 token /用户一个 jti?而且,如果我有一个特定于用户的 jti,这是否会取消 JWT 无状态的意义,因为我需要以某种方式跟踪 token ?

我很乐意在了解如何使用 jti 方面获得一些帮助,或者如果我根本不需要它的话。

最佳答案

jti应用范围中应该是唯一的,以防止两个相同的 JWT。

参见 RFC 7519

4.1.7. "jti" (JWT ID) Claim

The "jti" (JWT ID) claim provides a unique identifier for the JWT.The identifier value MUST be assigned in a manner that ensures thatthere is a negligible probability that the same value will beaccidentally assigned to a different data object; if the applicationuses multiple issuers, collisions MUST be prevented among valuesproduced by different issuers as well. The "jti" claim can be usedto prevent the JWT from being replayed. The "jti" value is a case-sensitive string. Use of this claim is OPTIONAL.

如果您需要一个黑名单来撤销 token 并确保相同的 JWT 不会被发布两次(当包含相同的内容但没有时间戳声明时),它可能会很有用

关于JWT jti 唯一性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43023218/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com