[英]Design for JWT token
我見過人們通過以某種方式組合用戶的密碼,上次注銷時間和共享密碼來實現無效的JWT令牌,並將其用作該用戶的JWT密碼。 這樣,更改密碼或注銷將使所有現有令牌無效。
我的問題是
這是合理/良好的設計嗎?
如果是, 我應該如何將這三個值組合到新的機密中以確保沒有任何不好的事情發生(我是密碼學的新手)?
您應該以bcrypt格式存儲密碼-不應將密碼本身用作內存中保存的任何類型的密鑰。
如果您使用密碼來交換bcrypt哈希,則可以,甚至更好,您可以簡單地存儲和使用上次密碼更改的日期/時間。 如果希望保存存儲要求,則可以有一個“上次更改日期”,該日期在注銷或更改密碼時會更新。
請注意,這種設置意味着您無法為每個帳戶支持多個會話,就好像一個會話已注銷一樣,該用戶帳戶下的所有會話也將被支持。
總體而言,這似乎是使令牌在服務器端無效的一種好方法,因為該秘密只是在HMAC中終止了一部分密鑰哈希。
您可以使用實際的機密SHA-224 last_update_date以獲取要使用的密鑰。
例如
secret = sha-224(last_update_time || ":" || static_secret)
但是,由於您將在每個請求中都要與數據庫進行檢查,因此這在很大程度上削弱了JTW的所有優勢-請參見此答案 。
如何在Java中使用HttpURLConnection發送回JWT令牌?
[英]How to send back a JWT token with HttpURLConnection in java?
如何使用Spring Boot,JPA,Hibernate和MySQL驗證用戶登錄並傳遞JWT令牌
[英]How to authenticate user login and pass JWT token using spring boot, jpa,hibernate and mysql
我可以使用 Firebase 令牌 (JWT) 來識別過期日期 > 1 小時的用戶嗎?
[英]Can i use a Firebase token (JWT) to identify a user with an expire date > than 1 hour?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.