繁体 English 中英

JWT jti的唯一性

[英]JWT jti uniqueness

原文 2017-03-25 23:37:31 6 1 jwt

我在理解如何在JWT中使用jti声明时遇到了一些麻烦。 据我在其他SO问题和在线文档中看到的那样，他们应该是唯一的，但在什么范围内是唯一的？ 每个网站/应用一个jti？ 每个令牌/用户一个jti？ 而且，如果我有一个特定于用户的jti，那是否不应该撤销JWT无状态的意义，因为我需要以某种方式跟踪令牌？

我希望获得一些帮助，以了解如何使用jti，或者也许根本不需要它。

1 个解决方案

jti 在应用程序范围内应该是唯一的，以防止两个相等的JWT。

参见RFC 7519

4.1.7。 “ jti”（JWT ID）声明

“ jti”（JWT ID）声明为JWT提供了唯一的标识符。 标识符值的分配方式必须确保将相同值偶然分配给不同数据对象的可能性极小； 如果应用程序使用多个发行者，则还必须防止不同发行者产生的值之间发生冲突。 “ jti”声明可用于防止重播JWT。 “ jti”值是区分大小写的字符串。 此声明的使用是可选的。

如果您需要黑名单来吊销令牌并确保相同的JWT不会被发布两次（当包含相同的内容而没有时间戳声明时），这可能会很有用。

在JavaScript中为JWT生成JTI声明

[英]Generating JTI claim for JWT in javascript

如何在 JWT 中使用 jti 声明

[英]How to use jti claim in a JWT

使用 JWT 令牌的 jti 声明作为不透明令牌

[英]Using jti claim of JWT tokens as an opaque token

为flask-jwt-extended获取其他用户jti

[英]Get other user jti for flask-jwt-extended

登录后，Rails devise-jwt gem是否不会在用户中更新jti？

[英]Rails devise-jwt gem is not updating jti in the user after login?

如何在JWT中正确使用JTI声明以防止重放攻击？

[英]How to properly use JTI claims with JWT to prevent replay attacks?

jti索赔应多久重新生成一次？

[英]How often should the jti claim be regenerated?

jwt有可能吗？

[英]Is It possible with jwt?

[英]Understanding JWT

JWT及其实现

[英]JWT and implementations

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 在JavaScript中为JWT生成JTI声明如何在 JWT 中使用 jti 声明使用 JWT 令牌的 jti 声明作为不透明令牌为flask-jwt-extended获取其他用户jti 登录后，Rails devise-jwt gem是否不会在用户中更新jti？如何在JWT中正确使用JTI声明以防止重放攻击？ jti索赔应多久重新生成一次？ jwt有可能吗？了解JWT JWT及其实现

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM