Learn-json-web-tokens: "일회용"이 MITM을 해결할 수 있는 이유는 무엇입니까?

@NE-SmallTown 좋은 질문입니다.
일회용 토큰을 사용하는 것은 애플리케이션 보안을 위한 좋은 방법입니다.
이 패턴을 사용하려면 각 응답에 대해 JWT를 자동으로 업데이트하는 onPreResponse 후크를 설정할 수 있습니다.

대답해야 하는 질문은 다음과 같습니다. 토큰이 재사용되지 _않도록 하려면 어떻게 계획하고 있습니까?
식별자를 일종의 데이터베이스에 저장하고(_우리는 일반적으로 앱에서 이를 위해 redis 를 사용합니다_) 토큰이 이미 사용되었는지 확인해야 합니다.

@nelsonic 답변 감사합니다. 조금 혼란스럽습니다.

질문이 있습니다.

당신이 말했듯이 프로세스는 다음과 같습니다.

사용자가 홈 페이지에 액세스하고 헤더에 토큰을 보냅니다(로그인했다고 가정).

                                       |
                                       |
                                       ↓

서버는 토큰을 받은 다음 토큰을 디코딩하여 userId 를 얻은 다음 데이터베이스로 이동하여( redis 대신 데이터베이스를 사용한다고 가정) userId 의 해당 토큰을 가져옵니다. == 연산자를 사용하여 동일한지 확인합니다. 그렇다면 토큰을 삭제하고 새 토큰을 생성하여 데이터베이스에 푸시하고 클라이언트에 데이터와 응답합니다.

질문이 있습니다. 확인하기 위해 == 연산자를 사용합니다. 그러나 토큰 자체에 vertify 메커니즘이 있다는 것을 알고

JWT.require(Algorithm.RSA256((RSAKey) publicKey))
                .withIssuer("auth")
                .withSubject("ne-smalltown")
                .withAudience(userId)
                .withArrayClaim("jwt-role", userRole)
                .build()

내가 틀렸다면 위와 같은 토큰 자체 검증 메커니즘을 사용하는 방법과 위치를 알려주시겠습니까?

IMO, 토큰 자체 검증 메커니즘을 사용할 수 있는 유일한 장소는 이전 토큰의 exp 매개변수를 가져와서 새 토큰에 넣어 사용자가 다시 로그인할 수 있도록 토큰이 만료되었는지 여부를 확인할 수 있는 곳입니다.

                                        |
                                        |
                                        ↓

클라이언트는 새 토큰을 수신하고 이를 localstorage 로 푸시하여 이전 토큰을 교체합니다. 그리고 다음 요청에서 이를 사용합니다.

@nelsonic 안녕하세요?

@NE-SmallTown 즉시 답장을 보내지 못해 죄송합니다.
JWT 사양에는 일회용 무효화에 대한 클레임/메커니즘이 없습니다.
참조: http://self-issued.info/docs/draft-ietf-oauth-json-web-token.html#RegisteredClaimName

@jbspeakr 에는
참조: https://www.jbspeakr.cc/howto-single-use-jwt/

@nelsonic 게시물을 공유해 주셔서 감사합니다.

게시물은 다음과 같이 말합니다.

이론적으로 이것은 이메일 활성화, 계정 확인과 같은 비밀번호 재설정 토큰 이외의 사용 사례에서도 작동합니다.

나는 이러한 경우가 일회용 jwt에 적합하다는 데 동의하지만 제 경우는 jwt에 사용자 역할 정보가 포함 되고 역할이 일정 하며 비밀번호 재설정, 이메일 활성화, 계정 확인 등을 좋아하지 않습니다.

따라서 질문으로 돌아가서 제 경우에는 이제 토큰을 확인할 필요가 없다고 생각합니다. 데이터베이스의 토큰과 함께 == 연산자를 사용하면 됩니다.