JWT как убивать сессии?

Question

[IDONTSUDO]

Я использую JWT для авторизации, и я не очень понимаю. Как я могу обнулить все сессии пользователя?

Я могу конечно переизобрести сессии и записывать данные в бд о авторизации.Но я думаю быть может есть решение лучше?

Answer 1

[Илья]

JWT не предполагает что его можно убить, предусмотрено только истечение токена по времени которое в нём зашито.
Если вы хотите сами управлять временем жизни токена то вам нужен ReferenceToken.
В этом сценарии вы даете клиенту только уникальный id токена. Полный токен хранится в вашей БД по этому ключу и вы можете полностью управлять его временем жизни.
https://openiddict.github.io/openiddict-documentat...

Comments

[Петр]

А смысл тогда создавать JWT токен, если вы только его ID передаете? JWT это обьект позволяющий хранить состояние сессии на клиенте, но если вы работаете с ID, то он и будет являеться указателем на сессию и уже по ID вы востановите состояние, зачем тогда JWT прослойка?

[Илья]

Петр, JWT и Reference Token - это разные виды токенов. Нет никакой прослойки.

[Петр]

Илья, И что это меняет, что они разные? JWT это состояние сессии и при этом защищенное, чтобы уменьшить вероятность подделки. Если вы переходите на ID то вам получается абсолютно не нужна эта защищенность, она то и является лишней прослойкой. А значит и не нужен JWT. Эта технология хороша там, где вам нужно проверять авторизацию пользователя, но у вас при этом нет возможности (или она сильно ограничена) это сделать напрямую. Для примера при обращениях к устройствам, что доступны по сети, но которым не доступен интернет.

[Илья]

Петр, да. Я написал в ответе, что функцию, которую хочет человек, JWT не реализует и надо пользоваться другим решением. В чем противоречие?

[Петр]

Илья, Противоречие в уникальном ID на токен. Так как это опускает безопасность ниже плинтуса. Тут либо у вас безопасная система JWT на JWT, либо не безопастная ID. Остальные варианты, это плохая не продуманная архитектура.

[Илья]

Петр, это стандартное решение, для него есть RFC Если вам оно кажется небезопасным, то можете написать в комитет и предложить им свою консультацию.