Instagram 不在其身份验证中使用 jwt
Instagram doesn't use jwt on it's authentication
instagram 似乎没有在其身份验证系统中使用 jwt(Json 网络令牌)。
如您所知,jwt 是一种比基于会话的系统更安全的用户身份验证方式。在 jwt 令牌存储在数据库中,并且 每个请求 ,我们在 localStorage 中发送令牌以用于验证。因此,如果您从一个帐户注销(例如 chrome),您必须在其他平台(例如 android 应用程序等)中注销。
但在 instagram 中不会发生这种情况。这是否意味着 instagram 不使用基于令牌的身份验证?又或许我看不懂。
代币可以分为两类:
- 引用令牌:令牌只是一个(随机)字符串,相关数据存储在数据库中
- Token by value:token本身包含了所有的数据。令牌经过数字签名,并且可以加密以保密。
JWT 属于第二类。可能的优点是它们避免了数据库调用,并且由于它们的生命周期很短,因此无需执行清理工作。
然而,说 JWT 比其他令牌更安全是不正确的。
当令牌在服务器和客户端之间交换时,主要的安全漏洞来自令牌在发布时或针对每个请求的传输,而不是令牌本身。
So if you logout from one account (for ex in chrome) you must be logged out in other platform (such as android app or etc).
这种功能主要取决于服务器策略。
例如,当用户从浏览器注销时,他可能需要登录其应用程序。
如果您希望用户在每个客户端上注销,则服务器必须提供带有注销系统的会话管理,例如 OpenID Connect 规范中描述的那些
instagram 似乎没有在其身份验证系统中使用 jwt(Json 网络令牌)。
如您所知,jwt 是一种比基于会话的系统更安全的用户身份验证方式。在 jwt 令牌存储在数据库中,并且 每个请求 ,我们在 localStorage 中发送令牌以用于验证。因此,如果您从一个帐户注销(例如 chrome),您必须在其他平台(例如 android 应用程序等)中注销。
但在 instagram 中不会发生这种情况。这是否意味着 instagram 不使用基于令牌的身份验证?又或许我看不懂。
代币可以分为两类:
- 引用令牌:令牌只是一个(随机)字符串,相关数据存储在数据库中
- Token by value:token本身包含了所有的数据。令牌经过数字签名,并且可以加密以保密。
JWT 属于第二类。可能的优点是它们避免了数据库调用,并且由于它们的生命周期很短,因此无需执行清理工作。
然而,说 JWT 比其他令牌更安全是不正确的。 当令牌在服务器和客户端之间交换时,主要的安全漏洞来自令牌在发布时或针对每个请求的传输,而不是令牌本身。
So if you logout from one account (for ex in chrome) you must be logged out in other platform (such as android app or etc).
这种功能主要取决于服务器策略。 例如,当用户从浏览器注销时,他可能需要登录其应用程序。
如果您希望用户在每个客户端上注销,则服务器必须提供带有注销系统的会话管理,例如 OpenID Connect 规范中描述的那些