GAE/Go コトハジメ 日時 2017-07-21 作 @voluntas バージョン 0.6.0 URL https://voluntas.githu.io/ 突っ込みは Twitter @voluntas まで。
JSON Web Token を失効させる JWT いいけど、個別に失効させようとすると面倒だと思う。 JWT の利点の一つとして、発行者以外でも自由にトークンの有効性を検証できるというのがあるはずだけど、 「期限切れ」以外の失効がある可能性を考えるとうまくいかない。 失効したという事実を中央集権的にどこかで保持する必要がでてきてしまう 1. 失効したトークンをブラックリストに持つ 単純な方法、トークンに有効期限を設けておけば、ブラックリストが無限に大きくなることはない