Ich habe zuvor eine lange Frage bezüglich der Sicherheit von JWT-Tokens gestellt, aber ich möchte mich hier speziell auf den JWT-Token-Widerruf konzentrieren. Ich verwende JWT als primären Authentifizierungsmechanismus für die Authentifizierung mobiler Clients einer mobilen Anwendung. Meine Frage ist: Lohnt es sich Token-Widerruf zu implementieren? Momentan verwende ich eine kurze Lebensdauer für meine Tokens und vertraue darauf, dass TLS verhindert, dass Tokens von nicht autorisierten Benutzern gestohlen werden. Ich habe den Token-Widerruf nicht implementiert. Aber im Grunde bedeutet dies, dass, wenn ein Token irgendwie gestohlen wird, es keinen Weg gibt, ihn zu widerrufen. Was mich mehr beschäftigt, ist, dass wenn ein Benutzer sich von der Anwendung abmeldet, das letzte Token, das er benutzt hat, immer noch funktioniert, wenn ich es nicht widerrufen kann. Und es bedeutet auch, dass ich die Anzahl der Token, die ein Benutzer anfordern kann, nicht begrenzen kann, da ich keine Token verfolge, die ausgegeben werden. Ich habe viele Anwendungen gesehen, die einfach alle ausgegebenen Token in der Datenbank speichern, so dass sie Token widerrufen und regulieren können. Aber das scheint nur den Zweck der Verwendung von JWT zu besiegen. Lohnt es sich, solche Komplexität hinzuzufügen oder ist mein derzeitiges System sicher?Ist JWT Token Revocation es wert?
Vielen Dank im Voraus. Ich schätze jede Hilfe.
Danke MvdD. Ich schätze es. Das ist sehr hilfreich. –
Gern geschehen, benutzen Sie einfach die Upvote-Tasten, wenn eine Antwort hilfreich ist. Und vergiss nicht, eine Antwort als akzeptiert zu markieren. – MvdD