哈喽!今天心血来潮给大家带来了《我是否需要对存储在数据库中的刷新令牌进行哈希处理?》,想必大家应该对golang都不陌生吧,那么阅读本文就都不会很困难,以下内容主要涉及到,若是你正在学习Golang
哈喽!今天心血来潮给大家带来了《我是否需要对存储在数据库中的刷新令牌进行哈希处理?》,想必大家应该对golang都不陌生吧,那么阅读本文就都不会很困难,以下内容主要涉及到,若是你正在学习Golang,千万别错过这篇文章~希望能帮助到你!
问题内容我正在开发一个 WEB 应用程序,该应用程序在后端使用 Go
和基于 Jwt 的身份验证。当用户登录时,我向他们发送过期时间较短的访问令牌和过期时间较长的刷新令牌。这两个令牌都包含 username
作为其有效负载。它们是用不同的秘密创建的。我的问题是关于注销。当用户发送注销请求时,我想使其刷新令牌无效,以便他们在注销后需要再次登录。为了解决方案,我将将该刷新令牌存储在数据库的黑名单表中。我的问题是,我是否需要在将刷新令牌存储到数据库之前对其进行哈希处理。谢谢。
标准 JWT 声明 (RFC 7519 §4.1.7) 之一是 "jti"
,它是令牌的唯一标识符。如果您在刷新令牌中包含唯一标识符,则足以在数据库中存储 "jti"
和 "exp"
(过期)声明。 (我默认使用 ("GitHub.com/satori/go.uuid").NewV4
生成 "jti"
作为随机 UUID,并且由 "crypto/rand"
随机数生成器内部支持。)
现在,如果您收到刷新令牌,您可以执行常规检查以确保其已正确签名且未过期,然后在数据库中查找 "jti"
。如果不在黑名单中,那么就可以重复使用。您只需将 "exp"
保留在数据库中即可知道何时可以安全地清除记录。由于 "jti"
只是一个随机标识符,因此您无法从 "jti"
返回任何可识别信息,因此不需要对其进行哈希或加密。
如果您没有 "jti"
并且无法添加,我可能会散列令牌或仅保留声明的副本。部分原因是空间原因,部分原因是您不想存储实际上是有效凭证的内容。保留足够的信息,以便您可以唯一地识别令牌;可能 "sub"
和 "exp"
时间在一起就足够了(如果向同一主体颁发的两个令牌在同一秒到期是无法区分的)。
今天关于《我是否需要对存储在数据库中的刷新令牌进行哈希处理?》的内容就介绍到这里了,是不是学起来一目了然!想要了解更多关于的内容请关注编程网公众号!
--结束END--
本文标题: 我是否需要对存储在数据库中的刷新令牌进行哈希处理?
本文链接: https://www.lsjlt.com/news/596560.html(转载时请注明来源链接)
有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
下载Word文档到电脑,方便收藏和打印~
2024-04-05
2024-04-05
2024-04-05
2024-04-05
2024-04-05
2024-04-05
2024-04-05
2024-04-05
回答
回答
回答
回答
回答
回答
回答
回答
回答
回答
0