0
我为我的nodejs项目实现了JWT令牌,但对撤销令牌的需求使我切换到引用持票人令牌,以完全控制令牌生存期。根据我的项目要求:引用令牌生成最佳实践
- 令牌必须比自我描述的JWT令牌短得多。
- 必须有某种方法来确保服务器发出令牌(如JWT中的hs256验证),但由于参考令牌中没有有效负载部分,情况会变得更加复杂。
什么是最佳实践来实现一个安全的,不可能的猜测,引用标记?
A
回答
0
一个不透明的令牌只是一个ramdom字符串,它在服务器中映射到一个经过验证的用户名。看看https://security.stackexchange.com/questions/19676/token-based-authentication-securing-the-token
这样的令牌是不够好,安全,只要攻击者无法建立以不可忽略的概率,一个“有效令牌”是“令牌是在数据库中的有效令牌发射令牌“。是足够的令牌值具有长度至少16字节和产生与加密的强PRNG
为了减少服务器的存储需求,则令牌可以包含的用户名及发行日期,并用加密HMAC私钥,以便服务器可以验证真实性。
最后的解决方案非常接近JWT。使用JWT,您还可以使用黑名单标记无效令牌,存储到其过期时间并在每个请求中检查它。 (黑名单打破智威汤逊无国籍状态,因为它要求保持国家)
相关问题
- 1. 最佳实践令牌
- 2. OAuth2用户令牌最佳实践
- 3. Facebook访问令牌最佳实践
- 4. Android的最佳实践:引导MainActivity与令牌
- 5. XML引用最佳实践
- 6. 生成表单,最佳实践
- 7. 动态生成JavaScript的最佳实践
- 8. Rails最佳实践 - 引擎
- 9. 使用NHibernate为生产生成模式的最佳实践
- 10. 最佳实践:数据库引用表
- 11. 引用JAXB罐 - 最佳实践
- 12. Android OAuth2不记名令牌最佳实践
- 13. 访问令牌持久性最佳实践(iOS)
- 14. 最佳实践
- 15. 最佳实践
- 16. 最佳实践
- 17. 最佳实践:
- 18. 最佳实践
- 19. 最佳实践
- 20. 最佳实践
- 21. 最佳实践
- 22. 最佳实践
- 23. 最佳实践
- 24. 最佳实践
- 25. 最佳实践
- 26. 最佳实践
- 27. 最佳实践
- 28. 最佳实践
- 29. 最佳实践
- 30. 最佳实践