我是否需要对存储在数据库中的刷新令牌进行哈希处理？

哈喽！今天心血来潮给大家带来了《我是否需要对存储在数据库中的刷新令牌进行哈希处理？》，想必大家应该对golang都不陌生吧，那么阅读本文就都不会很困难，以下内容主要涉及到，若是你正在学习Golang，千万别错过这篇文章~希望能帮助到你！

我正在开发一个 WEB 应用程序，该应用程序在后端使用 Go 和基于 Jwt 的身份验证。当用户登录时，我向他们发送过期时间较短的访问令牌和过期时间较长的刷新令牌。这两个令牌都包含 username 作为其有效负载。它们是用不同的秘密创建的。我的问题是关于注销。当用户发送注销请求时，我想使其刷新令牌无效，以便他们在注销后需要再次登录。为了解决方案，我将将该刷新令牌存储在数据库的黑名单表中。我的问题是，我是否需要在将刷新令牌存储到数据库之前对其进行哈希处理。谢谢。

解决方案

标准 JWT 声明 (RFC 7519 §4.1.7) 之一是 "jti"，它是令牌的唯一标识符。如果您在刷新令牌中包含唯一标识符，则足以在数据库中存储 "jti" 和 "exp" （过期）声明。 （我默认使用 ("GitHub.com/satori/go.uuid").NewV4 生成 "jti" 作为随机 UUID，并且由 "crypto/rand" 随机数生成器内部支持。）

现在，如果您收到刷新令牌，您可以执行常规检查以确保其已正确签名且未过期，然后在数据库中查找 "jti"。如果不在黑名单中，那么就可以重复使用。您只需将 "exp" 保留在数据库中即可知道何时可以安全地清除记录。由于 "jti" 只是一个随机标识符，因此您无法从 "jti" 返回任何可识别信息，因此不需要对其进行哈希或加密。

如果您没有 "jti" 并且无法添加，我可能会散列令牌或仅保留声明的副本。部分原因是空间原因，部分原因是您不想存储实际上是有效凭证的内容。保留足够的信息，以便您可以唯一地识别令牌；可能 "sub" 和 "exp" 时间在一起就足够了（如果向同一主体颁发的两个令牌在同一秒到期是无法区分的）。

今天关于《我是否需要对存储在数据库中的刷新令牌进行哈希处理？》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注编程网公众号！