Недійсні веб-маркери JSON

Для нового проекту node.js, над яким я працюю, я думаю про перехід від підходу до сеансу на основі файлів cookie (маючи на увазі, зберігання ідентифікатора в сховищі ключових значень, що містить сеанси користувача в браузері користувача) до підходу сеансу на основі лексеми (не зберігається ключ-значення) за допомогою веб-жетонів JSON (jwt).

Проект - це гра, яка використовує socket.io - проведення сеансу на основі лексеми було б корисно в такому сценарії, коли в одному сеансі буде кілька каналів зв'язку (web і socket.io)

Як можна забезпечити вимкнення маркера / сеансу з сервера за допомогою jwt-підходу?

Я також хотів зрозуміти, на які загальні (або нечасті) підводні камені / напади я повинен звертати увагу при такій парадигмі. Наприклад, якщо ця парадигма вразлива для тих же / різних видів атак, що і підхід сеансу зберігання / cookie.

Отже, скажіть, у мене є таке (адаптоване з цього і цього ):

Вхід у сесійний магазин:

app.get('/login', function(request, response) {
    var user = {username: request.body.username, password: request.body.password };
    // Validate somehow
    validate(user, function(isValid, profile) {
        // Create session token
        var token= createSessionToken();

        // Add to a key-value database
        KeyValueStore.add({token: {userid: profile.id, expiresInMinutes: 60}});

        // The client should save this session token in a cookie
        response.json({sessionToken: token});
    });
}

Логін на основі маркера:

var jwt = require('jsonwebtoken');
app.get('/login', function(request, response) {
    var user = {username: request.body.username, password: request.body.password };
    // Validate somehow
    validate(user, function(isValid, profile) {
        var token = jwt.sign(profile, 'My Super Secret', {expiresInMinutes: 60});
        response.json({token: token});
    });
}

-

Вихід (або визнання недійсним) для підходу до магазину сеансів вимагатиме оновлення бази даних KeyValueStore із заданим маркером.

Схоже, такий механізм не існував би в підході, що базується на лексемах, оскільки сам маркер міститиме інформацію, яка зазвичай існує у сховищі ключових значень.

Я теж досліджував це питання, і хоча жодна з наведених нижче ідей не є повноцінним рішенням, вони можуть допомогти іншим виключати ідеї або надавати подальші.

1) Просто видаліть маркер із клієнта

Очевидно, що це не робить нічого для безпеки на сервері, але він зупиняє зловмисника, видаляючи маркер із існування (тобто вони повинні були б вкрасти маркер перед виходом із системи).

2) Створіть чорний список токенів

Ви можете зберігати недійсні маркери до їх початкового терміну дії та порівнювати їх із вхідними запитами. Це, мабуть, заперечує причину повного маркування, базуючись на першому місці, оскільки вам потрібно торкатися бази даних для кожного запиту. Розмір пам’яті, швидше за все, буде меншим, оскільки вам потрібно буде зберігати лише маркери, що знаходилися між часом виходу та закінченням терміну дії (це відчуття кишки та, безумовно, залежить від контексту).

3) Просто тримайте лексеми терміни придатності короткі та обертайте їх часто

Якщо ви будете тримати термін дії маркера на достатньо коротких інтервалах, а запущений клієнт слідкувати і запитувати оновлення при необхідності, номер 1 ефективно працює як повноцінна система виходу. Проблема цього методу полягає в тому, що він унеможливлює вхід користувача в систему між закриттями клієнтського коду (залежно від того, як довго ви робите інтервал дії).

Плани дій у надзвичайних ситуаціях

Якщо в будь-якому випадку сталася надзвичайна ситуація, або маркер користувача було порушено, одне, що ви можете зробити, - це дозволити користувачеві змінити базовий ідентифікатор пошуку користувача за допомогою своїх облікових даних для входу. Це зробить усі пов'язані маркери недійсними, оскільки асоційованого користувача більше не вдасться знайти.

Я також хотів зазначити, що корисно включити останню дату входу з маркером, щоб ви могли застосувати повторну реєстрацію через деякий віддалений проміжок часу.

З точки зору подібності / відмінностей щодо атак з використанням маркерів, у цій публікації розглядається питання: https://github.com/dentarg/blog/blob/master/_posts/2014-01-07-angularjs-authentication-with-cookies -vs-token.markdown

Ідеї, розміщені вище, хороші, але дуже простий і простий спосіб визнати недійсним всі існуючі JWT - це просто змінити секрет.

Якщо ваш сервер створює JWT, підписує його секретом (JWS), після чого надсилає його клієнту, просто зміна секрету призведе до вимкнення всіх існуючих маркерів і вимагає від усіх користувачів отримати новий маркер для автентифікації, оскільки їх старий маркер раптово стає недійсним згідно на сервер.

Він не потребує жодних змін до фактичного вмісту маркера (або ідентифікатора пошуку).

Зрозуміло, що це працює лише в екстреному випадку, коли ви хотіли, щоб термін дії всіх існуючих маркерів закінчився, для закінчення терміну дії маркера потрібне одне з вищезазначених рішень (наприклад, короткий час закінчення терміну дії або недійсне збереження ключа в маркері).

Це в першу чергу довгий коментар, який підтримує та спирається на відповідь від @mattway

Подано:

Деякі з інших запропонованих рішень на цій сторінці пропонують вражати сховище даних у кожному запиті. Якщо ви натискаєте на основний сховище даних для перевірки кожного запиту аутентифікації, я бачу менше причин використовувати JWT замість інших встановлених механізмів аутентифікації токенів. Ви по суті зробили JWT видатним, замість безгромадянського стану, якщо кожного разу заходите в сховище даних.

(Якщо ваш сайт отримує велику кількість несанкціонованих запитів, то JWT буде відмовляти їм, не потрапляючи в сховище даних, що корисно. Можливо, є й інші випадки використання.)

Подано:

Дійсно автентифікацію JWT без громадянства неможливо досягти для типового реального веб-додатка, оскільки JWT без громадянства не має можливості забезпечити негайну та безпечну підтримку для таких важливих випадків використання:

Обліковий запис користувача видалено / заблоковано / призупинено.

Пароль користувача змінено.

Ролі або дозволи користувача змінюються.

Користувач вийшов адміністратором.

Будь-які інші важливі дані програми в маркері JWT змінюються адміністратором сайту.

Ви не можете чекати закінчення терміну дії жетонів у цих випадках. Вимкнення маркера має відбутися негайно. Крім того, ви не можете довіряти клієнтові не зберігати та не використовувати копію старого маркера, будь то зловмисним наміром чи ні.

Тому: Я думаю, що відповідь з @ matt-way, №2 TokenBlackList, був би найбільш ефективним способом додати необхідний стан до автентифікації на основі JWT.

У вас є чорний список, який містить ці маркери, поки не буде досягнуто їх терміну придатності. Список жетонів буде досить невеликим порівняно із загальною кількістю користувачів, оскільки він повинен зберігати лише маркерів у чорному списку до їх закінчення. Я б реалізував, ввівши недійсні маркери в redis, memcached або інший сховище даних пам'яті, що підтримує встановлення часу дії на ключ.

Ви все ще повинні здійснити виклик на свій db пам'яті для кожного запиту на аутентифікацію, який передає початковий autor JWT, але вам не потрібно зберігати там ключі для всього набору користувачів. (Що може бути, а може і не бути великою справою для даного сайту.)

Я б записував номер версії jwt на моделі користувача. Нові маркери jwt встановили б свою версію для цього.

Коли ви перевіряєте jwt, просто перевірте, чи є у нього номер версії, який дорівнює поточній версії jwt користувачів.

Кожен раз, коли ви хочете визнати недійсним старі jwts, просто збийте номер версії jwt користувачів.

Я ще цього не пробував, і він використовує багато інформації на основі деяких інших відповідей. Складність тут полягає в тому, щоб уникнути виклику магазину даних на стороні сервера за запитом щодо інформації користувача. Більшість інших рішень потребують пошуку db за запитом у магазині сеансів користувача. Це добре в певних сценаріях, але це було створено для спроби уникнути подібних дзвінків і зробити так, щоб необхідне стан сторони сервера було дуже малим. Ви в кінцевому підсумку відтворить сеанс на стороні сервера, хоч і невеликий, щоб забезпечити всі функції вимкнення сили. Але якщо ви хочете це зробити, це суть:

Цілі:

• Пом'якшити використання сховища даних (без стану).
• Можливість примусового виходу всіх користувачів.
• Можливість примусового виходу з будь-якої особи у будь-який час.
• Можливість вимагати повторного введення пароля через певний час.
• Можливість роботи з декількома клієнтами.
• Можливість примусового повторного входу, коли користувач натискає вихід із певного клієнта. (Щоб запобігти тому, щоб хтось "видаляв" клієнтський маркер після того, як користувач пішов, див. Коментарі для додаткової інформації)

Рішення:

• Використовуйте короткотривалі (<5м) маркери доступу, сполучені з довгим (кілька годин) клієнтом, що зберігається оновленим маркером .
• Кожен запит перевіряє чинність автентичності, або оновлення терміну дії маркера.
• Коли термін доступу закінчується, клієнт використовує маркер оновлення, щоб оновити маркер доступу.
• Під час перевірки маркера оновлення сервер перевіряє невеликий чорний список ідентифікаторів користувачів - якщо знайдено, відхиляє запит на оновлення.
• Якщо клієнт не має дійсного (не закінчився терміну) оновлення або токена авторизації, користувач повинен повернутися в систему, оскільки всі інші запити будуть відхилені.
• За запитом входу, перевірте сховище даних користувачів щодо заборони.
• Під час виходу - додайте цього користувача до чорного списку сеансу, щоб він повинен був увійти в систему. Вам потрібно буде зберігати додаткову інформацію, щоб не виходити з усіх пристроїв у середовищі з декількома пристроями, але це можна зробити, додавши поле пристрою до поля чорний список користувачів.
• Щоб примусити повторне введення через x кількість часу - підтримуйте дату останнього входу в токен аутентифікації та перевіряйте її за кожним запитом.
• Щоб змусити виходити з системи всіх користувачів - скиньте хеш-ключ маркера.

Для цього потрібно підтримувати на сервері чорний список (стан), припускаючи, що таблиця користувачів містить заборонену інформацію про користувача. Недійсний чорний список сеансів - це список ідентифікаторів користувачів. Цей чорний список перевіряється лише під час запиту на оновлення маркера. Записи обов'язкові для проживання на ньому, поки маркер оновлення TTL. Як тільки маркер оновлення закінчиться, користувачеві потрібно буде знову увійти.

Мінуси:

• Ще потрібно зробити пошук сховища даних за запитом маркера оновлення.
• Недійсні маркери можуть продовжувати працювати для TTL маркера доступу.

Плюси:

• Забезпечує бажану функціональність.
• Дія оновлення токена прихована від користувача при звичайній роботі.
• Потрібно лише здійснити пошук сховища даних для оновлення запитів замість кожного запиту. тобто 1 кожні 15 хв замість 1 за секунду
• Мінімізує стан сторони сервера до дуже невеликого чорного списку.

З цим рішенням сховище даних пам’яті на зразок reddis не потрібне, принаймні, не для інформації користувачів, як ви, оскільки сервер здійснює лише db-дзвінок кожні 15 хвилин. Якщо ви користуєтеся Reddis, зберігання дійсного / недійсного списку сесій у ньому було б дуже швидким та простішим рішенням. Не потрібно маркер оновлення. Кожен авторський маркер мав би ідентифікатор сеансу та ідентифікатор пристрою; вони можуть бути збережені у таблиці червоного редактора щодо створення та недійсні, коли це доречно. Тоді їх перевіряли б на кожен запит і відхиляли, коли недійсні.

Я розглядав підхід, щоб завжди містити iat(видається за) значення у JWT. Потім, коли користувач виходить із системи, зберігайте цю часову позначку в записі користувача. Під час перевірки JWT просто порівняйте iatз останньою часовою міткою, що вийшла з системи. Якщо iatвік старший, то він не дійсний. Так, вам потрібно перейти до БД, але я завжди все одно буду витягувати запис користувача, якщо JWT дійсно дійсний.

Основний недолік, який я бачу в цьому, полягає в тому, що він видалить їх із усіх своїх сеансів, якщо вони перебувають у декількох браузерах або також є мобільний клієнт.

Це також може бути приємним механізмом виведення з ладу всіх JWT в системі. Частина перевірки може відповідати глобальній iatчасовій позначці останнього дійсного часу.

Я тут трохи запізнююся, але думаю, що маю гідне рішення.

У моїй базі даних стовпчик "last_password_change", в якому зберігаються дата та час останнього зміни пароля. Я також зберігаю дату / час видачі в JWT. Під час перевірки токена я перевіряю, чи був змінений пароль після видачі маркера, і чи був маркер відхилений, хоча термін його дії ще не закінчився.

Ви можете мати поле "last_key_used" у БД у документі / записі користувача.

Коли користувач увійде в систему з користувачем та пропустить, генеруйте нову випадкову рядок, збережіть її у полі last_key_used та додайте її до корисного навантаження при підписанні маркера.

Коли користувач входить у користування маркером, перевірте last_key_used в БД, щоб він відповідав тому, який знаходиться в маркері.

Потім, коли користувач виконує реєстрацію, наприклад, або якщо ви хочете визначити марку недійсною, просто змініть це поле "last_key_used" на інше випадкове значення і будь-які наступні перевірки не зможуть, отже, змушуючи користувача увійти з користувачем і пройти знову.

Зберігайте такий список пам'яті

user_id   revoke_tokens_issued_before
-------------------------------------
123       2018-07-02T15:55:33
567       2018-07-01T12:34:21

Якщо ваші жетони закінчуються через тиждень, тоді чистіть або ігноруйте записи, старіші за них. Зберігайте лише найсвіжіші записи кожного користувача. Розмір списку залежатиме від того, як довго ви зберігаєте маркери та як часто користувачі відкликають свої жетони. Використовуйте db лише тоді, коли таблиця буде змінена. Завантажте таблицю в пам'ять при запуску програми.

------------------------ Трохи спізнившись на цю відповідь, але, можливо, це допоможе комусь ------------- -----------

З боку клієнта найпростіший спосіб - видалити маркер зі зберігання браузера.

Але що робити, якщо ви хочете знищити маркер на сервері Node -

Проблема пакету JWT полягає в тому, що він не забезпечує жодного способу чи способу знищити маркер. Ви можете використовувати різні методи стосовно JWT, які були згадані вище. Але ось я йду з jwt-redis.

Отже, щоб знищити маркер на стороні сервера, ви можете використовувати пакет jwt-redis замість JWT

Ця бібліотека (jwt-redis) повністю повторює всю функціональність бібліотеки jsonwebtoken, з одним важливим доповненням. Jwt-redis дозволяє зберігати позначку токена в redis, щоб перевірити дійсність. Відсутність ярлика токена в redis робить маркер недійсним. Щоб знищити маркер у jwt-redis, існує метод знищення

він працює таким чином:

1) Встановіть jwt-redis з npm

2) Створити -

var redis = require('redis');
var JWTR =  require('jwt-redis').default;
var redisClient = redis.createClient();
var jwtr = new JWTR(redisClient);

jwtr.sign(payload, secret)
    .then((token)=>{
            // your code
    })
    .catch((error)=>{
            // error handling
    });

3) Для перевірки -

jwtr.verify(token, secret);

4) Знищити -

jwtr.destroy(token)

Примітка . Ви можете надати термін дії Inins під час входу токена так само, як це передбачено в JWT.

Може, це комусь допоможе

Чому б не просто використати претензію jti (не має значення) і зберегти її у списку як поле запису користувача (залежне від db, але, принаймні, список, розділений комами)? Немає необхідності в окремому пошуку, оскільки інші, напевно, вказували на те, що ви хочете отримати запис користувача в будь-якому випадку, і таким чином ви можете мати кілька дійсних маркерів для різних екземплярів клієнта ("вихід звідусіль" може скинути список до порожнього)

1. Надайте термін придатності для жетонів на 1 день
2. Ведення щоденного чорного списку.
3. Помістіть недійсні / маркери виходу в чорний список

Для перевірки токена спочатку перевірте термін дії маркера, а потім чорний список, якщо маркер не закінчився.

Для довгих потреб сеансу повинен бути механізм продовження терміну дії маркера.

Пізно до вечірки, мої два центи даються нижче після деяких досліджень. Під час виходу переконайтесь, що відбуваються такі речі ...

Очистіть зберігання / сеанс клієнта

Оновіть дату та час останнього входу в таблицю користувачів, коли вхід або вихід виходять відповідно. Тому час дати входу завжди повинен бути більшим, ніж час виходу (Або зберігати дату виходу нульовою, якщо поточний статус увійшов, а ще не вийшов)

Це набагато простіше, ніж регулярне ведення додаткової таблиці з чорного списку та регулярне чищення. Для підтримки декількох пристроїв потрібна додаткова таблиця для входу в систему, дати виходу з деякими додатковими деталями, такими як ОС або клієнт.

Унікальний на рядок користувача та глобальний рядковий хеш разом

Ось приклад:

HEADER:ALGORITHM & TOKEN TYPE

{
  "alg": "HS256",
  "typ": "JWT"
}
PAYLOAD:DATA

{
  "sub": "1234567890",
  "some": "data",
  "iat": 1516239022
}
VERIFY SIGNATURE

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload), 
  HMACSHA256('perUserString'+'globalString')
)

where HMACSHA256 is your local crypto sha256
  nodejs 
    import sha256 from 'crypto-js/sha256';
    sha256(message);

наприклад використання див. https://jwt.io (не впевнений, що вони обробляють динамічні 256-бітові секрети)

Я зробив це наступним чином:

1. Створіть unique hash, а потім збережіть його в Redis та JWT . Це можна назвати сеансом
   • Ми також збережемо кількість запитів , які зробив конкретний JWT. Щоразу, коли jwt надсилається на сервер, ми збільшуємо цілі запити . (це необов’язково)

Отже, коли користувач входить у систему, створюється унікальний хеш, зберігається в Redis та вводиться у ваш JWT .

Коли користувач спробує відвідати захищену кінцеву точку, ви захопите унікальний хеш сеансу зі свого JWT , запитаєте redis та побачите, чи відповідає це!

Ми можемо продовжити це і зробити наш JWT ще більш безпечним, ось як:

Кожен X запит певного JWT зробив, ми створюємо новий унікальний сеанс, зберігаємо його в нашому JWT , а потім чорний список попереднього.

Це означає, що JWT постійно змінюється і перестає лаятися , вкрасти чи щось інше.

Якщо ви хочете відкликати маркери користувачів, ви можете відслідковувати всі видані жетони у вашій БД і перевіряти, чи є вони дійсними (існують) у таблиці, що нагадує сеанс. Мінус полягає в тому, що ви будете натискати БД на кожен запит.

Я не пробував цього, але пропоную наступний метод, щоб дозволити відкликання лексеми, зберігши мінімальну кількість звернень до БД -

Щоб знизити швидкість перевірки бази даних, розділіть всі видані JWT-маркери на X групи відповідно до деякої детермінованої асоціації (наприклад, 10 груп за першою цифрою ідентифікатора користувача).

Кожен маркер JWT буде містити ідентифікатор групи та часову позначку, створену при створенні маркера. наприклад,{ "group_id": 1, "timestamp": 1551861473716 }

Сервер буде зберігати всі ідентифікатори групи в пам'яті, і кожна група матиме часову позначку, яка вказує, коли було останньою подією виходу користувача, що належить до цієї групи. наприклад,{ "group1": 1551861473714, "group2": 1551861487293, ... }

Запити із маркером JWT, у якого є старіша часова мітка групи, буде перевірена на дійсність (звернення в БД), і якщо вона дійсна, буде видано новий JWT-маркер зі свіжою міткою для подальшого використання клієнта. Якщо часова мітка групи токена новіша, ми довіряємо JWT (відсутність звернення до БД).

Тому -

1. Ми підтверджуємо маркер JWT за допомогою БД, якщо маркер має стару часову позначку групи, тоді як майбутні запити не будуть перевірені, поки хтось із групи користувачів не вийде.
2. Ми використовуємо групи для обмеження кількості змін часових позначок (скажімо, користувач увійшов і вийшов, як завтра немає - це вплине лише на обмежену кількість користувачів замість усіх)
3. Ми обмежуємо кількість груп, щоб обмежити кількість часових позначок, що зберігаються в пам'яті
4. Недійсний маркер - це вітер - просто видаліть його з таблиці сеансів і створіть нову часову позначку для групи користувача.

Якщо параметр "вихід із усіх пристроїв" прийнятний (у більшості випадків це):

• Додайте поле версії токена до запису користувача.
• Додайте значення в цьому полі до претензій, що зберігаються в JWT.
• Збільшуйте версію щоразу, коли користувач виходить із системи.
• Під час перевірки маркера порівняйте претензію на її версію з версією, що зберігається в записі користувача, і відхиліть, якщо вона не є однаковою.

Поїздка db для отримання запису користувача у більшості випадків все одно потрібна, тому це не додасть великих витрат на процес перевірки. На відміну від підтримки чорного списку, де завантаження БД є значним через необхідність використання з'єднання або окремого виклику, очистіть старі записи тощо.

Я збираюся відповісти. Якщо нам потрібно забезпечити вихід із усіх пристроїв, коли ми використовуємо JWT. Цей підхід використовує пошук бази даних для кожного запиту. Тому що нам потрібен стійкий стан безпеки, навіть якщо відбувається збій на сервері. У таблиці користувачів у нас буде два стовпці

1. LastValidTime (за замовчуванням: час створення)
2. Увійшли (за замовчуванням: вірно)

Кожного разу, коли є запит на вихід із користувача, ми оновлюємо LastValidTime до поточного часу та Logged-In - false. Якщо є запит на вхід, ми не будемо змінювати LastValidTime, але для входу буде встановлено значення true.

Коли ми створюємо JWT, у нас буде час створення JWT у корисному навантаженні. Коли ми авторизуємось на послугу, ми перевіримо 3 умови

1. Чи діє JWT
2. Чи більший час створення корисного навантаження JWT, ніж User LastValidTime
3. Чи користувач увійшов у систему

Давайте подивимось практичний сценарій.

Користувач X має два пристрої A, B. Він увійшов на наш сервер о 7 вечора за допомогою пристрою A та пристрою B. (скажімо, термін дії JWT закінчується 12 годин). У обох A і B є JWT з createdTime: 7pm

О 21 годині вечора він втратив свій пристрій B. Він негайно вийшов з пристрою А. Це означає, що тепер у нашій базі даних X користувача LastValidTime є "ThatDate: 9: 00: xx: xxx" та ввійшов як "помилковий".

О 9:30 Mr.Tistent намагається увійти за допомогою пристрою B. Ми перевіримо базу даних, навіть якщо Logged-In є помилковим, тому ми не можемо дозволити.

О 22:00 увійти Mr.X зі свого пристрою А. Тепер пристрій A має JWT із створеним часом: 22:00. Тепер увійшов до бази даних, встановлено значення "вірно"

О 10:30 вечора містерТекер намагається увійти. Навіть незважаючи на те, що Увійшли в систему, це правда. LastValidTime - це 21:00 в базі даних, але JWT B створив час як 7:00. Тож йому не дозволять отримати доступ до служби. Таким чином, використовуючи пристрій B без пароля, він не може використовувати вже створений JWT після виходу одного пристрою.

Рішення IAM на зразок Keycloak (над яким я працював) дають кінцеву точку відкликання Token

Кінцева точка відкликання токена /realms/{realm-name}/protocol/openid-connect/revoke

Якщо ви просто хочете вийти з користувачем (або користувачем), ви можете також зателефонувати в кінцеву точку (це просто визнає недійсним маркери). Знову ж таки, у випадку з Кейлоаком, що належить Стороні, потрібно просто назвати кінцеву точку

/realms/{realm-name}/protocol/openid-connect/logout

Посилання на випадок, якщо ви хочете дізнатися більше

Це здається справді важким для вирішення без пошуку БД при кожній верифікації лексеми. Альтернативою, яку я можу придумати, є збереження чорного списку недійсних токенів на стороні сервера; який слід оновлювати в базі даних кожного разу, коли відбудеться зміна, щоб зберегти зміни під час перезавантаження, змусивши сервер перевірити базу даних при перезапуску, щоб завантажити поточний чорний список.

Але якщо ви будете зберігати його в пам'яті сервера (глобальна змінна різновид), це не буде масштабуватися на декількох серверах, якщо ви використовуєте більше одного, тож у такому випадку ви можете зберігати його в спільному кеші Redis, який повинен бути налаштування для збереження даних десь (файлова система бази даних?) у випадку, якщо їх потрібно перезапустити, і кожного разу при запуску нового сервера він повинен підписатися на кеш Redis.

Альтернативно чорному списку, використовуючи те саме рішення, ви можете зробити це з хешем, збереженим у редакторі за сеанс, як вказує ця інша відповідь (не впевнений, що це було б більш ефективно, якщо багато користувачів входять у систему).

Це звучить жахливо складно? це робить для мене!

Відмова: Я не використовував Redis.

Якщо ви використовуєте axios або подібний http-посилання на основі обіцянок, ви можете просто знищити маркер на передній частині всередині .then()деталі. Він буде запущений у частині відповіді .then () після того, як користувач виконає цю функцію (код результату з кінцевої точки сервера повинен бути нормальним, 200). Після того, як користувач натисне цей маршрут під час пошуку даних, якщо поле бази даних user_enabledпомилкове, воно призведе до знищення маркера, і користувач негайно вийде з системи та зупинить доступ до захищених маршрутів / сторінок. Нам не потрібно чекати, коли маркер закінчиться, поки користувач постійно входить у систему.

function searchForData() {   // front-end js function, user searches for the data
    // protected route, token that is sent along http request for verification
    var validToken = 'Bearer ' + whereYouStoredToken; // token stored in the browser 

    // route will trigger destroying token when user clicks and executes this func
    axios.post('/my-data', {headers: {'Authorization': validToken}})
     .then((response) => {
   // If Admin set user_enabled in the db as false, we destroy token in the browser localStorage
       if (response.data.user_enabled === false) {  // user_enabled is field in the db
           window.localStorage.clear();  // we destroy token and other credentials
       }  
    });
     .catch((e) => {
       console.log(e);
    });
}

Я просто зберігаю маркер до таблиці користувачів, при вході в систему я оновлю новий маркер і коли auth дорівнює поточному jwt користувача.

Я думаю, що це не найкраще рішення, але це працює для мене.