JWTと1回のトークン？私自身のJWTトークン認証を「ローリング」の過程で

Question

イム、 しかし..私は本当にそれが1時間トークンになりたい...その使用一度..だから、サーバーが新しいトークンを生成し、クライアントがあります次の要求/呼び出し中にそのトークンを使用する。

しかし、JWTは「無国籍」となっていると私は理解しています。 しかし、ワンタイムトークンのアプローチでは、どうにかして有効なトークンを "保存"する必要があります。トークンは一度使用されるとリフレッシュされるからです。 またはサーバー上の値を保存しないように、まだ「1時間」-tokensを作成することができるようにとにかくはありますか？ 私は任意の値を格納したいいけない理由のための2つの主な理由は、第二に、すべてのスケーラビリティ（必ず私は値を格納する間にキャッシュサーバを持つことができます..しかし、それは必要なことがwouldntの場合、それはいいだろう）。..の最初のものです。 JWTは...

任意のアイデア私の理解..私はトークンを検証できるようにするには、サーバー上の値を格納する必要がある場合それはwouldntのからステートレスことになっていますか。？

Answer 1

それが満了していないと署名が正しいことを、一般の人々は、人々がログアウトしている通常のものですブラックリストにトークンのDBを維持する場合は本当にありません、JWTのトークンが有効でないなど

私が考えることができる賢明な方法は、それらに短い有効期限を与え、すでに使用されているトークンのリストを維持することです。その後、DBから期限切れになるトークンを定期的に削除します。

実際にレコードにTTLを持つDB（dyanmoDB、mongodb）があるので、トークンを入れるだけで、トークンの有効期限が切れるとttlを設定します。

Answer 2

ソリューションはもちろん、存在します。任意の分散システムと同様に

（あなたがスケーラビリティを述べた）あなたは、可用性と一貫性の間で選択する必要があります。

1. 可用性を選択します。この場合、すべてのエンドポイント間で最終的に一貫した方法で複製するすでに使用されているトークンのリストを維持することができます。例えば、トークンが使用されるとき、それぞれのエンドポイントはそのトークンをバックグラウンド内の他のエンドポイントに送る。しかし、そのトークンがそのエンドポイントが更新されるまで別のエンドポイントによって2回目に使用されることができる（短い）時間枠がある。

2. 一貫性を選択します（トークンを何度も使用することはできません）。この場合、すでに使用されているトークンを含む中央データベースを使用し、アクションを実行する必要があるたびにそのデータベースをチェックします。スケーラビリティ？トークンにシャーディングを使用し、トークンサブセットを担当するnのデータベースを持つことができます。

どのようなソリューションが最適かは、お客様のビジネスによって異なります。

Answer 3

任意のDB保存せずに一回JWTトークンを持つことの可能な方法：

https://www.jbspeakr.cc/howto-single-use-jwt/