关于JWT用户主动注销强制登出忘记密码修改密码的一些思考

Posted zezeze

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了关于JWT用户主动注销强制登出忘记密码修改密码的一些思考相关的知识,希望对你有一定的参考价值。

JWT(JSON WEB TOKEN)的特点是无状态,通常用来作为验证登录以及鉴权,在这一方面,JWT体现出了他的优点。

然而,如果使用JWT实现,用户主动注销、强制登出(禁止登陆)、忘记密码、修改密码,JWT续签等方面的需求,就会让人头疼。

按照网上的一些讨论,我概括如下:

1、将每一个签发的JWT保存在REDIS上,当出现上述的需求时,就更新对应的JWT,如果客户端与REDIS中的不同,那么登录失败。

这种方法虽然可以解决上述问题,但是此时JWT似乎变成了有状态的了,部分失去了JWT的优点。

2、在签发、鉴别JWT中,不使用公共的秘钥,而是为每一个账户保存一个对应的秘钥,当客户端发来请求时,使用秘钥验证,如果失败说明这个JWT已经失效,可以实现上述的功能。

然而,对于每一个请求都需要在数据库中查找对应的秘钥,这为服务器增加了负担。

3、如果用户主动注销,或者主动修改密码,仅仅在客户端对之前的JWT删除(此时,如果获得了之前的JWT仍然可以登录),似乎不会对安全性带来影响,因为此时,之前的JWT并没有被泄露。

 

然而有没有一种方式可以不使用数据库来实现上述功能?

这个问题的答案我也不清楚。

不过希望我提供的这一个方案可以给大家一些思路。(如有雷同纯属巧合)

使用JWT的一个原则是尽可能的发挥它无状态的优点。

一般来说,在Restful的操作中,用户发生正常操作的概率,远远大于上述5个操作。为了充分利用这一点,减少查库操作,我把上述五个功能分为2个部分

可预知:用户主动注销、修改密码、以及JWT续签

可预知:服务器在当前请求中,知道当前操作的一个效果是为了失效当前JWT,在这个部分中,服务器清楚地知道需要失效的JWT的实际值。

解决方案:当服务器收到一个可预知的请求时,首先在redis中查询是否存在当前JWT,如果存在返回false,否则在redis中插入当前jwt,这条数据的失效时间为当前jwt的剩余有效时间。

不可预知:强制登出(禁止登陆)、忘记密码、

不可预知:服务器在当前请求中,知道当前操作的一个效果是为了失效某个JWT,这个JWT的实际值未知,但是这个JWT所对应的账户已知。

解决方案: 解析这个JWT后,得到AppID,timeStamp、查询redis,如果对应AppID 的timeStamp小于 redis中的timeStamp,返回false,否则在redis中插入当前AppId,与当前时间戳,这条数据的失效时间为JWT生存期。(因为无法得到签发的JWT剩余时间,只能按照最大时间处理)。

 

上述方法缺点:还是避免不了查库,但是减少了库中存放的内容

如果上述方法存在漏洞,欢迎指正。

 

以上是关于关于JWT用户主动注销强制登出忘记密码修改密码的一些思考的主要内容,如果未能解决你的问题,请参考以下文章

ipad忘记icloud密码如何注销(ipad忘记密码怎么注销icloud账户)

ICloud没有密码怎么注销?

apple id密码忘记了怎么样注销?

没有密码怎么注销icloud账户

win2008进入系统忘记密码如何解决

为登录用户设计忘记密码