Netflix注销不会撤销安全的netflix ids。

Question

我正在学习微型服务安全，我想看看Netflix是否真的把我拒之门外。当我登录到Netflix时，我打开了https://www.netflix.com/YourAccount，在检查器中查看了我发送的标题。

复制标头后，我注销了->，打开了Postman，并发出了与复制的标头相同的请求。结果-我可以看到我的帐户信息，所以令牌没有被撤销。

悬挂令牌是一种标准吗？

它不是让网站的用户更容易受到攻击吗？

Answer 1

签名的auth令牌的一个好处是能够实现它们的无状态性。这意味着服务器不必跟踪活动令牌，而是通过检查令牌的签名和令牌中包含的声明来验证令牌的有效性。这些声明通常包含一个很短的有效期，大约5分钟。

一个简单的注销例程可能只是删除客户端上的令牌，这正是您所看到的行为的结果。此令牌的副本仍然有效，直到生存期结束。

所以你是对的--如果有人能偷走你的遗物，你就会在短时间内变得脆弱。

通过在服务器端的“注销列表”中记住活动令牌，应用程序实际上可以实现一个干净的注销，直到令牌的生存期结束。如果有人试图使用令牌，服务器将在“注销列表”中找到其id，并拒绝访问。根据你的观察，Netflix决定反对这种机制。