访问令牌：撤销与删除 [英] Access Tokens: Revoke vs Delete

问题描述

我正在使用dusterio/lumen-passport创建一个路由/user/logout，并在控制器操作中手动吊销令牌，这会导致用户注销。

我有两个注销用户的选项。吊销令牌(它将令牌保留在数据库中-只设置一个标志，告知令牌无用)并删除令牌。

我的问题很简单：

管理令牌的最佳方法是什么？我应该通过删除还是通过吊销来注销？

将来，我将使用redis来存储令牌，因此我想我应该删除这些令牌，因为在redis服务器中保存过期数据没有意义。

推荐答案

1)吊销/使令牌无效。

2)每次调用受保护的接口时，都要检查令牌的有效性，然后才会相应地为请求服务。

3)如果您遇到无效令牌，请将用户重定向到登录页面，并在身份验证成功后颁发有效令牌，然后再次将其重定向到请求的页面。

使用此方法，即使在同一浏览器的另一个选项卡/窗口中有打开的现有会话，并且如果用户在注销/会话超时后尚未登录，这也将始终确保有效令牌的使用。

存储过期令牌绝对没有意义。在数据库中存储JWT令牌也不是正确的做法。它们应仅存储在会话数据中，并在更改有效性时删除/替换。

因此，在会话数据中只为特定目的存储单个有效JWT令牌。假设您的JWT令牌颁发者服务器拥有最好的实现，请确保您永远不会再得到相同的JWT令牌。因此，过期后存储它们是完全没有意义的。

这篇关于访问令牌：撤销与删除的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！