json web token (jwt) 不能revoke,放cookie有啥缺点? - 未名空间MITBBS历史存档

国际科技财经博客移民网络热点娱乐民生时事公众号

Redian新闻

>未名空间

>Programming - 葵花宝典

json web token (jwt) 不能revoke,放cookie有啥缺点?

json web token (jwt) 不能revoke,放cookie有啥缺点?# Programming - 葵花宝典

m*y2015-11-25 08:11

1 楼

我的opt今年12月到期，现在的公司帮我搞了everify延期，但是眼看有间公司可能会帮
办h1b，那我应该怎么办呢？我已经把所有everify延期的文件都交到uscis，现在是
initial review.
有知道的同学能解答一下吗？万分感谢！

h*y2015-11-25 08:11

2 楼

看着小青那局促不安的神情，我霍地生出了怜香惜玉之心，不知不觉中整个人都高出了
一截。我转过身子，让自己面对着小青并拉过她冰凉的手，微微地低下头，盯着她的眼
睛淡然地一笑，又微微地摇了摇头，信心十足地说：“小青，别怕。不管发生了什么事
儿，有我在呢。”
我的话音还没落呢，小青一下子扑到我的肩头，嘤嘤地哭了起来。我用力地抱紧了她，
轻轻地拍着她的后背。这个时候，我不但不再紧张，反而有些释然了。不管我们要去见
的是什么人，不管我们要面对的是什么事，那又有什么关系呢？我们只管坦然地面对，
理性地应对就是了。
想一想小青和我，一个是同时面对着几个男生的置疑仍然能够面不改色、心不慌的女侠
式的人物，一个是被父亲变向地赶出家门时既没有惊惶失措地哭鼻子也没有苦苦地向
父亲哀求的女战士。这个世界上，还有什么事情是我们无法面对的吗？想到这里，我感
到自己更加高大、更加强壮了。但是，我隐隐地觉得，有一种异样的恐慌和一种莫名
的惆怅悄悄地漫过了我的心头。难道，我的父亲良心发现了，认识到把我赶出家门是错
误的行为，从而前来找我了？或者，是和我的父亲母亲相关的人突然想到了我，前来
看看我？我的脑袋飞快地运转着，我的心却拼命地地干扰着脑袋的运转，这种自相矛盾
的纠结使得我坠入了更加深的深潭。
直到很多年之后，我才彻底地明白了这种感觉是只有亲人之间才有的心灵的感应，也是
只有有情人之间才能够产生的隔空的共鸣。比如我父亲的身体每况愈下时，我总是被
一种不祥的预感牵绊着，最后终于放下了当年“永远不再回小县城”的誓言，跌跌撞撞
地回到了父亲的身边；比如谭悦每一次陷入孤独当中，不吃不喝也不同任何人说笑时
，不论我有多忙，总是能够听到他在内心呼唤我的声音……
我正天马行空地胡思乱想，小青正趴在我的肩头抽泣，电梯突然停了。随着电梯门的打
开，小青猛地放开了我，本能地向后退了一步，将身体贴在了电梯的内壁上。她惊恐地
盯着电梯外的走廊，竟不敢向外迈步。
我惊异地盯着小青的脸，我的余光却让我看到了她那汹涌起伏的胸脯。我条件反射般地
关上了电梯的门，捧着小青的脸关切地问：“小青，我们到底要见什么人？你为什么这
么害怕？”
小青醒过神来，死死地拉住我的手，认真地说：“小欣，如果，将要发生的事情让你感
到痛苦难耐，你就想一想那个日本人啊。”
“小青，到底怎么了啊？”受小青的影响，我再一次紧张起来。但是，为了缓解紧张的
气氛，我故作轻松地玩笑着说：“哎，我说，你不是要把我给卖了吧？”
小青不再理睬我，默默地打开了电梯的门，径自向走廊的深处走去。当她敲开了一间客
房的房门时，我已经追上了她，紧紧地跟在她的身后走进了房间。房间里，迎着我和小
青并排站着四个人，教务处主任、学生科科长、盛军，还有一个看似美丽又高雅的中年
女人。
见我和小青走进了房间，那位中年女士向前踉跄了一步，张了张嘴巴，又用双手紧紧地
捂住了嘴巴。在她收住脚步的那一刻，我看到她的眼睛刷地就红了。
教务处主任看了看那女士，招呼我道：“谭欣啊，快过来。我给你介绍一下，这位是姜
女士。她是特意从新湾市赶来看你的。”
说着，不等我反应过来，教务处主任转向了那位女士，小心翼翼地对她说：“姜女士，
这就是我们的谭欣。她是一个非常懂事也非常可爱的孩子，是我们学校里的大才女呢。”
姜女士死死地盯着我看了好一会儿，突然扑向我，紧紧地抱着我，痛哭流涕地说：“孩
子，对不起，对不起，我让你受苦了。”
我的脑子里一片空白，像个稻草人一样张着两只胳膊，不知道该做些什么。我挨个看着
房间里的每一个人，希望他们能够给我一个答案。可是，他们都避开了我的目光。
就在我的情绪快要暴发的时候，盛军走了过来。他拉住姜女士的胳膊，阳刚气十足地说
：“阿姨，您不要这样。这样会吓坏小欣的。您先冷静一下，让我们慢慢地把事情的经
过讲给小欣听。”
我顾不得去留意已经松开了我，不停地抹着眼泪的姜女士，因为我全部的注意力都被盛
军对我的称呼吸引过去了。他对姜女士说话时，把我称为了“小欣”。他用这个称谓时
是那么自然、那么顺口，仿佛他不是第一次这样称呼我，仿佛我们之间早已亲密得就像
我和小青一样了。
“怎么可能这样呢？到底发生了什么奇怪的事情？平常我们都是有事说事，直呼其名，
没有丝毫亲密的言辞和举动的。”我直愣愣地盯着盛军，在心里默默地质问他。
“小欣，”盛军拉着我的胳膊，柔和地说，“你坐下来，我来告诉你到底发生了什么事
情。不过你得答应我，一定要听我把话讲完，行吗？”
“对，对。孩子，你先坐下来，听大家慢慢地给你讲一讲事情的经过。”听盛军这样一
说，姜女士连忙向后退了一步，满怀愧疚地对我说，“对不起，孩子，妈妈吓到你了，
妈妈不该这样冲动。”
“妈妈？”我的心一下子沉到了深潭的最深处，不禁惊叫起来，大声说道，“对不起，
这位女士。我想，您一定是认错人了。我的妈妈早在五年前就去世了。”
说罢，我把目光转向了大家。教务处主任张了几次嘴巴也没有说出一个字，学生科科长
更是低着头不看我。
这样的沉默让我感到窒息，也让我感到绝望。我不愿意相信这是真的，我不愿意相信，
我在电梯里胡思乱想的事情，此时此刻已经真实地发生在我的眼前。
我根本就无法掩饰我的心情，极其不快地对他们说：“如果你们只是让我来看你们发呆
的，那么我已经看到了。对不起，我先告辞了。”
就在我转身之际，盛军用一只手臂揽住了我的肩膀，用身体配合着另一只手臂紧紧地箍
住了我的双臂。这样一来，我就像个抱枕一样，整个人都陷在了他的怀抱中，他的嘴巴
就紧紧地贴在我的耳边。他轻轻地对我说：“小欣，你听我的，冷静一下。我向你保证
，听一个真实的故事，绝对不会比沉浸在可怕的猜想中更加可怕。”
我本想说，我为什么要听你的？我想说，我为什么一定要听你们讲完故事？可是，当我
愤怒地转向盛军时，瞬间就被他的目光征服了。他的目光是那样坚定，那样不容置疑
——他不是在请求我留下而是在命令我坐下。他的目光又是那样温柔，仿佛他是我的兄
长，仿佛他是我的亲人。他当着这么多人的面，毫不羞怯地用手臂囚禁着我，用体温
温暖着我，用话语安慰着我。这是除了父亲以外，我第一次如此近距离地与一个男生在
一起。在这种囚禁当中，我感受到了一种从未有过的心灵的悸动，我也感受到了一种从
未有过的身体的悸动。这两种悸动让我根本就没有办法拒绝盛军的命令，只能随着他在
门边的沙发上坐了下来。

c*e2015-11-25 08:11

3 楼

据说jwt放在cookie里,用mobile native app来call restful web services的时候不方
便？
jwt都有哪些缺点？

m*n2015-11-25 08:11

4 楼

同时办

【在 m****y 的大作中提到】

: 我的opt今年12月到期，现在的公司帮我搞了everify延期，但是眼看有间公司可能会帮
: 办h1b，那我应该怎么办呢？我已经把所有everify延期的文件都交到uscis，现在是
: initial review.
: 有知道的同学能解答一下吗？万分感谢！

W*o2015-11-25 08:11

5 楼

JWT爲毛要放在COOKIE裏？放在緩存不好嗎？頂在request header ?

n*42015-11-25 08:11

6 楼

如果是纯stateless的用法是不能revoke, 只能expire. 但你可以在claim 里加个
session id. server端存session id, 应该就可以revoke. 不过这就变成stateful的
了。

【在 c*********e 的大作中提到】

: 据说jwt放在cookie里,用mobile native app来call restful web services的时候不方
: 便？
: jwt都有哪些缺点？

c*e2015-11-25 08:11

7 楼

jwt放在javascript的variable里? 那hacker不就很容易偷到了吗？

【在 W***o 的大作中提到】

: JWT爲毛要放在COOKIE裏？放在緩存不好嗎？頂在request header ?

c*e2015-11-25 08:11

8 楼

https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-
storage/
文中比较了存在Cookies vs HTML5 Web Storage 。
最后作者推荐存在cookies.httponly. 但是， httponly是每个browser都支持的吗？
http://stackoverflow.com/questions/528405/which-browsers-do-sup

【在 W***o 的大作中提到】

: JWT爲毛要放在COOKIE裏？放在緩存不好嗎？頂在request header ?

m*i2015-11-25 08:11

9 楼

jwt现在都直接用 auth0的库，你不用管它存在哪里。auth0 browser的实现是放local
storage.
gitkit放cookie里
完全按spec的话jwt不能revoke。比较简单的hack是服务器方根据issue time revoke。
就是所有某时间之前的全资作废

【在 c*********e 的大作中提到】

: 据说jwt放在cookie里,用mobile native app来call restful web services的时候不方
: 便？
: jwt都有哪些缺点？

r*i2015-11-25 08:11

10 楼

是用jti，通过callback来blacklist jti

local

【在 m***i 的大作中提到】

: jwt现在都直接用 auth0的库，你不用管它存在哪里。auth0 browser的实现是放local
: storage.
: gitkit放cookie里
: 完全按spec的话jwt不能revoke。比较简单的hack是服务器方根据issue time revoke。
: 就是所有某时间之前的全资作废

k*n2015-11-25 08:11

11 楼

那是你没明白jwt的用法. 存在哪里并不是很重要,
jwt 的关键在于它的signature保证payload数据不被修改.

【在 c*********e 的大作中提到】

: https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-
: storage/
: 文中比较了存在Cookies vs HTML5 Web Storage 。
: 最后作者推荐存在cookies.httponly. 但是， httponly是每个browser都支持的吗？
: http://stackoverflow.com/questions/528405/which-browsers-do-sup