Ich habe eine Laravel-REST-API, die tymondesigns/jwt-auth zur Authentifizierung verwendet und die Anwendung von der Einzelserver- auf die Multiserverkonfiguration skalieren möchte, mit einem Load Balancer im Vordergrund.Kann Jwt-Auth in Laravel ungültige Tokens in einer Multi-Server-Konfiguration behandeln?
Der Fluss verwendet RefreshToken Middleware und im Wesentlichen ein Token wird nach jeder Anfrage ungültig und ein neues wird mit der Antwort zurückgegeben. (https://github.com/tymondesigns/jwt-auth/wiki/Authentication)
Wie wird jwt ungültige Tokens in einer Multiserverkonfiguration verwalten, in der das Token mit einem Server ungültig gemacht wird und eine neue Anfrage mit dem ungültigen Token auf einem anderen Server ausgeführt wird?
Warum sollte eine neue Anfrage mit einem ungültigen Token gehen? Erhält der Benutzer nicht das neue gültige Token? – Alex7
das ist genau das Sicherheitsproblem. Wenn ein Hacker ein ungültiges Token in die Hände bekommt (ohne zu wissen, wie er es erhält), wird dieses Token möglicherweise nicht für einen anderen Server in der Cluster-Konfiguration ungültig gemacht. Daher kann er gültige Anfragen verwenden. – Danny