快捷搜索:

JWT使用指南

什么是jwt以及工作流程?

可以看下面的链接

JWT是否要设置过期?

如果不设置过期的话,jwt一旦被中间人获取,就可以永远使用,服务端是无法分辨出来的,因为jwt的无状态特性。

所以过期时间是要设置的,而且短些比较好。

token过期了,理论上要跳到登录页面重新登录,重新换取token的。比如我们设置1小时过期,用户每过1小时就需要重新输入密码,是不是感觉很奇怪呢?讨论怎么处理之前,我们先看下又一个问题,假如要登出怎么办?

怎样处理登出?

我搜了很多的文章,总结有以下几种

1.从客户端把jwt删除,服务端不做处理

问题就是,自己骗自己,被删除的这个token还能用,如果你设置了过期时间,那就还好,等到期就失效了,如果你没有设置过期时间,那就永远有效,这也是jwt设置较短过期时间的又一个好处,但是又会有jwt经常过期,登录的问题

2.创建一个黑名单,在验证jwt之前,先检查黑名单里是否存在,如果不在就往下走,在的话直接认证不通过

问题就是,每次请求都多了一步检查黑名单,而且最重要的是违背了jwt的设计思想,jwt的无状态特性

3.给jwt设置一个短的过期时间,而且经常刷新获取新token,即refreshtoken

怎样处理过期?

使用refresh token,流程如下

不过我对这里有一个疑惑,在db存储refresh token 就不算违背jwt的无状态特性了吗?

补充下图,这里的状态指的是验证服务器,而不是应用服务器,应用服务器还是无状态的,refresh token只能请求 ,auth server,在应用服务器无作用的。

安全性问题

Persisting JWT token in localstorage (prone to XSS) < Persisting JWT token in an HttpOnly cookie (prone to CSRF, a little bit better for XSS) < Persisting refresh token in an HttpOnly cookie (safe from CSRF, a little bit better for XSS).

w w w w wjwt存储到内存中,refresh token 可以使用httponly持久化cookie, 每次启动app时可以用refresh token,(如果refresh token没过期的话,过期就跳转到登录页面),获取新的jwt token和refresh token,流程如下

经验分享 程序员 职场和发展