내 프로젝트에서는 Bearer 토큰을 사용하는 OAuth2 인증 프레임 워크를 구현하고 있습니다.
빠른 검색에서 JWT 토큰이 오늘날 Bearer 토큰의 주류 선택 인 것처럼 보입니다.
정보를 인코딩하지 않는 "dumb"토큰을 사용하는 경우 모든 관련 매개 변수 (토큰의 사용자, 발행일, 만료일 등)와 함께이 토큰을 데이터베이스에 저장합니다.
JWT의 문서에서이 흐름을 구현하여이 오버 헤드를 피할 수 있음을 이해했습니다.
사용자 ID를 알리고 싶지 않기 때문에 암호화 단계가 바람직합니다.
위의 방법을 사용하면 액세스 토큰과 사용자 간의 매핑을 저장하지 않고 토큰과 함께 제공된 사용자 ID 정보에 전적으로 의존 할 수 있습니다.
이 접근 방식에서 나를 방해하는 것은 액세스 토큰을 "취소"할 수있는 옵션이 없다는 것입니다.
즉, 액세스 토큰이 손상 되더라도 비활성화 할 수 없습니다 (정확히 손상된 토큰을 알지 못하는 경우).
이것이 진짜 문제입니까, 아니면 그냥 somethig를 놓치고 있습니까? 이 문제가 사실이라면 어떻게 해결할 수 있습니까?
액세스 토큰은 자체 포함되며 만료 시간이 유효한 한 유효합니다. 실제 사양에서 무효화에 대한 사양은 없습니다. 필요한 보안 수준에 따라 토큰의 유효성 검사 시간을 몇 분에서 몇 시간으로 조정할 수 있습니다. 일반적으로 유효성 검사 시간은 1 시간으로 설정됩니다.
더 높은 수준의 보안이 필요한 경우 참조 토큰을 사용할 수 있습니다. 참조 토큰은 정보를 전달하지 않으며 일반 문자열입니다. 그러나 서버 (또는 이러한 토큰을 소비하는 사람)는 실제 응답 콘텐츠에 대한 참조 토큰을 교환하기 위해 토큰 공급자에게 연락해야합니다. 그러나 이러한 토큰은 손상 될 경우 취소 할 수 있습니다.
참조 토큰의 일부 단점을 극복하는 방법에 대한 자세한 정보와 제안 사항은이 링크 를 참조하십시오 (예 : 백 채널 통신 / 토큰 공급자에 대한 추가 왕복). 궁금한 점이 있으면 알려주세요.
-소마.
이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.
침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제
몇 마디 만하겠습니다