Sitzung vs JWT-Authentifizierung mit Sperrdienst

Question

JWT-Authentifizierung, im Gegensatz zu Session-basierte Authentifizierung, soll weniger Aufwand in einem verteilten System zu implementieren. Mit der traditionellen Sitzungsauthentifizierung benötigen Sie einen gemeinsam genutzten Cache (bei dem es sich um einen einzelnen Fehlerpunkt handelt) oder einen verteilten Cache (der mit einem Komplex von Komplexitäten ausgestattet ist).

Möchten Sie keinen Sperrdienst wie eine Token-Blacklist hinzufügen, um beispielsweise einen Benutzer "auszuloggen" und die oben beschriebenen Probleme der Sitzungsauthentifizierung einzuführen?

Answer 1

Ja, würde es. Das Hinzufügen einer Blacklist führt dazu, dass Sie einige der Vorteile von JWT verlieren, zum Beispiel, dass Sie keinen Serverplatz benötigen, außer dass Sie, wenn Sie einen Cache mit mehreren Servern verwenden, einen Replikationsmechanismus benötigen.

Es ist jedoch eine gängige Annahme, Token ablaufen zu lassen, anstatt eine Blacklist zu verwenden und eine kleine Aktualisierungszeit einzustellen.

Werfen Sie einen Blick here einige allgemeine Techniken zu sehen Token ungültig zu machen