我无法弄清楚这个问题,但我知道 JWT 令牌是独立的,有自己的过期时间。通常,黑名单可能包含“过期”令牌,并阻止访问其中列出的令牌的路由。
我想知道,如果使用 aws cognito 并调用注销端点,实际上是否会将 aws 端的 JWT 令牌列入黑名单?有一个访问令牌和一个刷新令牌,因此两者都会失效,还是用户仍然可以使用该令牌登录,直到达到令牌中的过期时间?
不,不是。调用 LogOut 端点将使您与托管 UI/Oauth 端点进行的任何会话无效。
另一种选择是调用 globalSignOut [1],这将使所有用户访问和刷新令牌(用于 Cognito API)无效。
但是,JWT 令牌仍然有效,并且正如您所提到的,它是独立的。没有内置的令牌黑名单可供您自己的服务器以可扩展的方式检查。如果需要,您需要自己实现这一点。
[1] https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GlobalSignOut.html
https://COGNITO_DOMAIN/logout?client_id=APP_CLIENT_ID"&logout_uri=SIGNOUT_URL