计算机网络相关

JWT令牌泄露,如何让其失效?

因为 JWT 是无状态的 ,天生一旦签发出去,除非过期时间到了,否则服务器是无法单方面让它失效 的。

所以,所谓"旧的 JWT 令牌失效",一般要靠一些额外机制。


1. JWT 本身的问题

  • 无状态:JWT 验证只依赖签名和过期时间,服务器不保存会话。
  • 后果:一旦签发,JWT 在有效期内都能被用来访问,除非服务器主动检查并拒绝它。

2. 让旧 JWT 失效的常见做法

方法 1:缩短 JWT 的有效期 + Refresh Token

  • 设计方式:

    • Access Token(JWT):有效期很短(几分钟到几十分钟)。
    • Refresh Token(通常存数据库):有效期较长(几天/几周),用于申请新 JWT。
  • 好处:

    • 如果 JWT 泄露,攻击者最多能用短时间。
    • 服务端只要能废掉 Refresh Token(比如检测异常行为、用户注销),旧 JWT 很快就自然失效。

方法 2:黑名单 / 撤销列表

  • 在服务器维护一个 黑名单 ,存放已撤销的 JWT(通常存 jti 字段或整个 token)。
  • 验证请求时,除了校验签名,还要查询黑名单。
  • 缺点:失去了 JWT 的"纯无状态"优势,要额外存储和查询。

方法 3:令牌版本号(Token Versioning)

  • 在用户数据库里存一个 token_version 字段。

  • 签发 JWT 时,把 token_version 写进 payload。

  • 验证时对比数据库中的 token_version

    • 如果用户被强制登出或令牌被刷新,就把数据库的 token_version +1。
    • 旧 JWT 的 token_version 就和数据库不一致,立刻失效。
  • 优点:不需要存储所有旧 token,只需要一个版本号。


方法 4:重置密钥

  • 如果极端情况下需要让所有现有 JWT 失效,可以直接更换签名密钥(secret / private key)。
  • 所有旧 token 因签名不匹配而失效。
  • 缺点:会影响所有用户。

3. 总结

旧 JWT 不会自己失效,必须靠额外机制。常见策略:

  • 短期 Access Token + 长期 Refresh Token(最常用)。
  • 黑名单(适合高安全要求系统)。
  • 版本号机制(高效且常见)。
相关推荐
南星啊5 小时前
计算机网络的性能指标和体系结构
计算机网络
猫头虎5 小时前
如何利用海外 NetNut 网络代理与 AICoding 实战获取 iPhone 17 新品用户评论数据?
网络·人工智能·计算机网络·网络安全·ios·网络攻击模型·iphone
自我陶醉@6 小时前
计算机网络---网络层
网络·计算机网络·考研·学习方法·408·王道考研
_清浅8 小时前
计算机网络【第一章-计算机网络体系结构】
计算机网络
南星啊15 小时前
计算机网络概述
计算机网络
晚风(●•σ )19 小时前
【华为 ICT & HCIA & eNSP 习题汇总】——题目集24
计算机网络·华为·ensp
JZZC21 天前
11.路由器的接口及其相关知识(2025年9月25日)
计算机网络·接口·路由器·ensp·物理层
歪歪1001 天前
如何根据实际需求选择使用 TCP 或 UDP 协议?
开发语言·网络·网络协议·tcp/ip·计算机网络·udp
Lowjin_2 天前
计算机网络-ipv4首部校验原理
网络·计算机网络
祐言QAQ3 天前
(超详细,于25年更新版) VMware 虚拟机安装以及Linux系统—CentOS 7 部署教程
linux·运维·服务器·c语言·物联网·计算机网络·centos