如何在 auth0 中立即阻止用户
How to block user with immediate effect in auth0
我尝试了 auth0,但遇到无法阻止或强制注销用户的问题。
在我从 auth0 控制台阻止用户后,登录的用户仍然可以访问路由。
我使用了 express-openid-connect 中间件和 requiresAuth()
我想这是基于 JWT 的服务的常见问题?我是否应该实施一个有状态会话来管理此类用例的用户?
在基于 JWT 的服务中,通常的做法是使访问令牌的生命周期较短,例如10-15 分钟。这样用户仍然可以在短 window 内访问 api 但很快就需要刷新令牌。当令牌刷新发生时,身份验证服务被调用并且可以拒绝授予新令牌。
因此您可以确保您的访问令牌生命周期足够短并且应该足以满足安全要求。
从技术上讲,您当然可以实施有状态会话来检查每个请求的用户信息,但在这种情况下您不应该调用 Auth0 api 因为您将达到他们的速率限制器并且它会减慢您的速度api 个请求。需要某种同步到服务器端的快速读取 database/cache。
我尝试了 auth0,但遇到无法阻止或强制注销用户的问题。
在我从 auth0 控制台阻止用户后,登录的用户仍然可以访问路由。
我使用了 express-openid-connect 中间件和 requiresAuth()
我想这是基于 JWT 的服务的常见问题?我是否应该实施一个有状态会话来管理此类用例的用户?
在基于 JWT 的服务中,通常的做法是使访问令牌的生命周期较短,例如10-15 分钟。这样用户仍然可以在短 window 内访问 api 但很快就需要刷新令牌。当令牌刷新发生时,身份验证服务被调用并且可以拒绝授予新令牌。
因此您可以确保您的访问令牌生命周期足够短并且应该足以满足安全要求。
从技术上讲,您当然可以实施有状态会话来检查每个请求的用户信息,但在这种情况下您不应该调用 Auth0 api 因为您将达到他们的速率限制器并且它会减慢您的速度api 个请求。需要某种同步到服务器端的快速读取 database/cache。