最新

嗨，HN， 我们一直在开发CredAnt，这是一种新的远程网络解决方案，优先考虑简单性和去中心化。厌倦了复杂的VPN配置和对集中式服务器的担忧吗？我们也是。 CredAnt的设计旨在极其简单易用。我们的目标是零配置：安装后，您就可以像在同一局域网一样，轻松连接到您的远程设备。

我正在构建一个应用程序，并且不打算使用引用的令牌，因此选择使用JWT（JSON Web Tokens）。但是，有一个要求是管理员需要能够撤销用户会话，这就需要在数据库中存储JWT、它们的ID或某些哈希值，并增加额外的查找。对于一个用户来说，这意味着如果他们在多个设备上生成了多个JWT，就需要撤销他们可能生成的所有JWT，而我们并不知道具体要撤销哪些令牌。 我的解决方案是添加两个声明（id和sid），并在用应用程序密钥签署令牌之前，使用用户密钥对sid进行签名。 当令牌到达时，我首先用应用程序密钥进行验证。如果无效或已过期，我们返回401状态码。 如果有效，我会使用用户密钥验证sid，因为我现在知道它属于谁。 对用户密钥的额外查找带来的开销非常小，因为我们已经进行了预认证，可以视为业务逻辑。 因此，撤销所有用户会话只需更改用户的密钥即可。 你们对此有什么看法？有没有漏洞？