Задать вопрос
@User782
Кратко о себе

Как банить юзера аутентифицированного jwt токеном без использования баз данных?

Допустим refresh и acess токены украдены.
Базы данных нет

Как такой вариант?

Создать для пользователя файл с именем ключа
при обращениях проверять токены этим ключом
и если бан то менять ключ, то есть имя файла конкретного пользователя

или база будет оптимальней?

тогда какой вообще смысл в JWT если ключ проверять всё равно в базе надо на блеклист?
  • Вопрос задан
  • 62 просмотра
Подписаться 1 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 1
petermzg
@petermzg
Самый лучший программист
А в чем смысл пользовательского пароля, если его все равно по БД проверять нужно?
acсess токен часто по сети передается, вероятность его угона выше, поэтому и имеет маленикий срок жизни.
refresh токен реже передается по сети и поэтому время жизни его больше.
Также refresh токен может обновлять acсess только через сервис Авторизации, а acсess токены для клиентских сервисов. Так в системах с "Единый вход в систему (SSO)"

Для блокировок в acсess и refresh можно задавать refId привязанный к пользователю и блокировать по нему.
Но все равно требуется хранилище, где информацию хранить, то есть БД
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
18 дек. 2024, в 12:37
10000 руб./за проект
18 дек. 2024, в 12:22
5000 руб./за проект
18 дек. 2024, в 11:57
500 руб./в час