我有 2 个应用程序,一个是 Spring Boot,另一个是 Angular。目前,我已将我的应用程序与 azure ad 集成,从而通过它进行身份验证。现在的问题是,当用户从前端应用程序注销时,如果 token 未过期,如何使Azure AD提供的JWT token 失效。因为,如果有人能够在用户注销的情况下获取 token ,则他可以使用该 token 从后端检索数据。 知道如何做到这一点吗?
最佳答案
您的问题让很多人都在寻找明确的答案。简而言之:没有明确的答案。当然,有一些选项有点用,但没有一个是万无一失的。
我认为这个问题的答案Invalidating JSON Web Tokens最好地总结了您的选择:
- Remove the token from the client
- Create a token blacklist
- Just keep token expiry times short and rotate them often
我认为选项 3 是“该领域”最成功的方案。
关于angular - 如何使从 azure 广告收到的 Jwt token 无效,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59624916/