코딩하다 현타올 때

질문 : JSON 웹 토큰 무효화 작업중인 새 node.js 프로젝트의 경우 쿠키 기반 세션 접근 방식에서 전환하는 것을 고려하고 있습니다 (즉, 사용자 브라우저에 사용자 세션을 포함하는 키-값 저장소에 ID를 저장하는 것입니다). JSON 웹 토큰 (jwt)을 사용하는 토큰 기반 세션 접근 방식 (키-값 저장소 없음). 프로젝트는 socket.io를 활용하는 게임입니다-토큰 기반 세션을 갖는 것은 단일 세션 (웹 및 socket.io)에 여러 통신 채널이있는 시나리오에서 유용 할 것입니다. jwt 접근법을 사용하여 서버에서 토큰 / 세션 무효화를 제공하는 방법은 무엇입니까? 나는 또한 이런 종류의 패러다임으로주의해야 할 일반적인 (또는 흔하지 않은) 함정 / 공격을 이해하고 싶었습니다. 예를 들어이 패..

질문 : JWT (JSON Web Token) 만료 자동 연장 새로운 REST API에 JWT 기반 인증을 구현하고 싶습니다. 그러나 토큰에 만료가 설정되어 있으므로 자동으로 연장 할 수 있습니까? 사용자가 해당 기간에 애플리케이션을 적극적으로 사용하는 경우 X 분마다 로그인 할 필요가 없습니다. 그것은 엄청난 UX 실패입니다. 그러나 만료 기간을 연장하면 새 토큰이 생성됩니다 (이전 토큰은 만료 될 때까지 여전히 유효합니다). 그리고 각 요청 후에 새 토큰을 생성하는 것은 어리석은 것처럼 들립니다. 둘 이상의 토큰이 동시에 유효한 경우 보안 문제처럼 들립니다. 물론 블랙리스트를 사용하여 이전에 사용 된 것을 무효화 할 수 있지만 토큰을 저장해야합니다. 그리고 JWT의 장점 중 하나는 스토리지가 없다는 ..