我正在设计一个微服务并希望它是无状态的。为此,我不想使用 JWT,因为库中存在一些安全问题,例如空算法。我的设计是拥有一个通用的 session 存储 [如缓存]。为此,我将使用加密算法来加密我的 uid。 但我的问题是,如果我想让用户无效,比如说注销机制,我希望用户登录网络但注销移动设备,我该怎么做。并让用户拥有多个设备我该如何处理这种情况。
以及如何保护我的 token /cookie 免受 session 劫持,如果我的设计中存在任何安全漏洞,请帮助我。我一直在阅读多个博客,但所有这些问题都让我害怕继续前进,无法判断我的设计是否良好。
最佳答案
如果您只想从一个 session (设备)注销,则可以实现一项使用 JWT 和无状态的服务。但是,如果您将 Redis 缓存用于公共(public) session ,您的服务器将不会是无状态的。你成为无国籍人的目的是什么?
关于java - 多设备认证和退出机制,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/48593403/