voluntas

GAE/Go コトハジメ

日時

2017-07-21

作

@voluntas

バージョン

0.6.0

URL

https://voluntas.githu.io/

突っ込みは Twitter @voluntas まで。

xl1

JSON Web Token を失効させる

JWT いいけど、個別に失効させようとすると面倒だと思う。 JWT の利点の一つとして、発行者以外でも自由にトークンの有効性を検証できるというのがあるはずだけど、 「期限切れ」以外の失効がある可能性を考えるとうまくいかない。 失効したという事実を中央集権的にどこかで保持する必要がでてきてしまう

1. 失効したトークンをブラックリストに持つ

単純な方法、トークンに有効期限を設けておけば、ブラックリストが無限に大きくなることはない