由于最近 Alist 的风波，我发现移动云盘的 Authorization 令牌一旦签发就永久有效，没法撤销。

153 天前

BlueSky335

由于最近 Alist 的风波，我发现移动云盘的认证 Authorization 一旦签发就永久有效，没法撤销。

尝试去移动云盘删除可信设备，重置密码等，但是 Authorization 依然有效，alist 仍然能正常挂载。

一般来说这种认证令牌不应该都有有效期吗，重置密码之类的操作应该吊销所有的令牌才对啊。移动这么干感觉这是一个很大的安全隐患。

有没有什么方法让已经签发的 Authorization 失效？

4843 次点击

所在节点

NAS

26 条回复

Quint

153 天前

如果是你说的这样，那么用的应该是不带二次校验的 JWT 授权，除非移动主动修复，不然无解

shenlanAZ

153 天前

你把它搞欠费试试看

skiy

153 天前

不会吧？我的移动、电信经常挂掉。电信好像还是账密方式。

wefgonujnopu

153 天前

应该是一个月吧

ciki

153 天前

不是，一个月失效

coolcoffee

153 天前

你把 token 丢到 https://jwt.io/里面去，大概率能看到有效期。jwt 如果不做实时校验的话，在有效期内都是可以用的。

eggt

153 天前

不用 alist 还有啥好用的吗

ZeoKarl

152 天前

@eggt #7 openlist. alist 的 fork 版本.提供了一个自建的 token 刷新鉴权的 api.

gunner168

152 天前

没有永久，我以前用 alist 隔一段时间就得重新填授权码，

syubo2810

152 天前

万恶 JWT ，到期时间写死的

635925926

152 天前

所以 jwt 的作用是啥

chenluo0429

152 天前

@635925926
分布式验证，不需要向中心服务器验签。
自带数据段，一些基础的数据可以直接从 jwt 中读出，而不需要做一次查询，典型的将用户 id 写进去。对比 cookie 就需要先获取对应用户

MIUIOS

152 天前

整个移动云盘全是外包做的，我能理解

kodise

152 天前

我怎么记得是一段时间会失效，我亲手就因为到期重新获取过 token 才能用

BlueSky335

152 天前

@kodise 从我配置好，到现在一次都没掉过，而且我重置密码了删除了可信设备这些之后，alist 还是能获取网盘内的内容。

BlueSky335

152 天前

@coolcoffee 很明显不是 JWT 的格式，JWT 用.分成了三段，他这个没有

penzi

152 天前

@BlueSky335 token 本来就不是自动撤销的，都有过期时间

zxjxzj9

152 天前

说实话令牌这东西只要发给客户端之后就是一直有效的，能撤销的只有服务端（过期也好换签名也好）

Dididadada

152 天前

之前我发现百度网盘我改了密码之后，在设备上访问也完全不需要重新登录的，点开就能进，不知道现在还是不是这样

BardOS

152 天前

不可能的，一个月就挂，准时的很，我每隔 1 月就弄一次，烦得很

第 1 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1142696

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.