你好,我有一个应用程序,它在用户登录时为用户生成JWT令牌。但问题是,如果用户使用新设备登录,我想将以前的JWT令牌添加到黑名单中。问题是,当用户再次登录时,我不知道如何获得以前的JWT令牌。有什么建议吗?
这里的大问题是用户如何将JWT从一个设备带到另一个设备?您应该尽最大努力隐藏JWT,主要在请求头中使用它。
但是,如果你要让JWT变得可访问,有两种方法可以解决这个问题。
-
JWT过期策略-这是最常见的技术,JWT在一定时间后过期,用户必须重新登录。为什么这不能直接解决交换设备的问题,它应该可以防止大多数情况下的
-
设备属性-当您生成JWT时,为设备类型"向JWT添加一个属性;pc""移动"片剂";等等,并检查该属性是否与用户的当前设备匹配。你可以在路由器上添加一个授权步骤。