今天心血来潮给大家带来了《我是否需要对存储在数据库中的刷新令牌进行哈希处理?》,想必大家应该对golang都不陌生吧,那么阅读本文就都不会很困难,以下内容主要涉及到,若是你正在学习Golang,千万别错过这篇文章~希望能帮助到你!
问题内容
我正在开发一个 WEB 应用程序,该应用程序在后端使用 Go 和基于 Jwt 的身份验证。当用户登录时,我向他们发送过期时间较短的访问令牌和过期时间较长的刷新令牌。这两个令牌都包含 username 作为其有效负载。它们是用不同的秘密创建的。我的问题是关于注销。当用户发送注销请求时,我想使其刷新令牌无效,以便他们在注销后需要再次登录。为了解决方案,我将将该刷新令牌存储在数据库的黑名单表中。我的问题是,我是否需要在将刷新令牌存储到数据库之前对其进行哈希处理。谢谢。
解决方案
标准 JWT 声明 (RFC 7519 §4.1.7) 之一是 "jti",它是令牌的唯一标识符。如果您在刷新令牌中包含唯一标识符,则足以在数据库中存储 "jti" 和 "exp" (过期)声明。 (我默认使用 ("GitHub.com/satori/go.uuid").NewV4 生成 "jti" 作为随机 UUID,并且由 "crypto/rand" 随机数生成器内部支持。)
现在,如果您收到刷新令牌,您可以执行常规检查以确保其已正确签名且未过期,然后在数据库中查找 "jti"。如果不在黑名单中,那么就可以重复使用。您只需将 "exp" 保留在数据库中即可知道何时可以安全地清除记录。由于 "jti" 只是一个随机标识符,因此您无法从 "jti" 返回任何可识别信息,因此不需要对其进行哈希或加密。
如果您没有 "jti" 并且无法添加,我可能会散列令牌或仅保留声明的副本。部分原因是空间原因,部分原因是您不想存储实际上是有效凭证的内容。保留足够的信息,以便您可以唯一地识别令牌;可能 "sub" 和 "exp" 时间在一起就足够了(如果向同一主体颁发的两个令牌在同一秒到期是无法区分的)。
今天关于《我是否需要对存储在数据库中的刷新令牌进行哈希处理?》的内容就介绍到这里了,是不是学起来一目了然!