私は以前にJWTトークンのセキュリティに関して長い質問をしましたが、ここではJWTトークンの取り消しに特に注目したいと思います。私は、モバイルアプリケーションのモバイルクライアントを認証するための主な認証メカニズムとしてJWTを使用しています。私の質問です:トークンの取り消しを実装する価値がありますか?現在、私はトークンの寿命が短く、TLSに依存しているため、権限のないユーザーによってトークンが盗まれるのを防ぎます。トークン取り消しを実装していません。しかし、基本的には、トークンがどうにか盗まれた場合、トークンを取り消す方法がないということです。もっと懸念されるのは、ユーザーがアプリケーションからログアウトしたときに、最後に使用したトークンが取り消せない場合でもそれが動作するということです。また、発行されたトークンを追跡していないので、ユーザーが要求できるトークンの数に制限を付けることはできません。発行されたすべてのトークンをデータベースに格納し、トークンを取り消して規制する多くのアプリケーションを見てきました。しかし、これはJWTを使う目的を打ち負かしているようです。そのような複雑さを加える価値があるのですか、現在のシステムは安全ですか?JWTトークン取消しはそれに値するでしょうか?
ありがとうございます。私はどんな助けにも感謝します。
ありがとうございました。それは有り難いです。これは本当に役に立ちます。 –
あなたは歓迎です。答えが役に立つ場合は、アップボートボタンを使用してください。そして、1つの答えを受け入れたものとしてマークすることを忘れないでください。 – MvdD