Ho già fatto una lunga domanda sulla sicurezza dei token JWT, ma desidero concentrarmi specificamente sulla revoca dei token JWT qui. Sto usando JWT come meccanismo di autenticazione principale per l'autenticazione dei client mobili di un'applicazione mobile. La mia domanda è: vale la pena implementare la revoca del token? Attualmente, sto utilizzando una vita breve per i miei token e mi affido a TLS per impedire che i token vengano rubati da utenti non autorizzati. Non ho implementato la revoca del token. Ma fondamentalmente questo significa che se un token viene rubato in qualche modo, non c'è modo di revocarlo. Ciò che mi preoccupa di più è che quando un utente si disconnette dall'applicazione, l'ultimo token che stavano usando funziona ancora se non riesco a revocarlo. Significa anche che non posso porre un limite al numero di token che un utente può richiedere poiché non tengo traccia di alcun token emesso. Ho visto molte applicazioni che memorizzano tutti i token emessi nel database, consentendo loro di revocare e regolare i token. Ma questo sembra solo sconfiggere lo scopo di utilizzare JWT. Vale la pena aggiungere una tale complessità o il mio attuale sistema è sicuro?La revoca del token JWT vale la pena?
Grazie in anticipo. Apprezzo qualsiasi aiuto.
Grazie MvdD. Lo apprezzo. Questo è veramente utile. –
Prego, basta usare i pulsanti upvote se una risposta è utile. E non dimenticare di contrassegnare una risposta come accettata. – MvdD