[英]aws cognito invalidate token on logout
我無法弄清楚這個問題,但我知道 JWT 令牌是自包含的,有自己的到期時間。 通常,黑名單可能包含“過期”令牌,如果令牌列在那里,則阻止對路由的訪問。
我想知道,如果使用 aws cognito 並調用注銷端點,那實際上是否將 aws 端的 JWT 令牌列入黑名單? 有一個訪問令牌和一個刷新令牌,那么兩者都會失效還是用戶仍然可以使用令牌登錄,直到達到令牌中的到期時間?
不,不是的。 調用 LogOut 端點將使您與托管 UI/Oauth 端點的任何會話無效。
另一種選擇是調用 globalSignOut [1],這將使所有用戶訪問和刷新令牌無效(用於 Cognito API)。
但是,JWT 令牌仍然有效,並且正如您所提到的,是自包含的。 沒有內置的令牌黑名單,您自己的服務器可以以可擴展的方式檢查。 如果需要,這是您需要自己實現的東西。
[1] https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GlobalSignOut.html
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.