由于最近 Alist 的风波，我发现移动云盘的 Authorization 令牌一旦签发就永久有效，没法撤销。

4 天前

BlueSky335

由于最近 Alist 的风波，我发现移动云盘的认证 Authorization 一旦签发就永久有效，没法撤销。

尝试去移动云盘删除可信设备，重置密码等，但是 Authorization 依然有效，alist 仍然能正常挂载。

一般来说这种认证令牌不应该都有有效期吗，重置密码之类的操作应该吊销所有的令牌才对啊。移动这么干感觉这是一个很大的安全隐患。

有没有什么方法让已经签发的 Authorization 失效？

3759 次点击

所在节点

NAS

23 条回复

Quint

4 天前

如果是你说的这样，那么用的应该是不带二次校验的 JWT 授权，除非移动主动修复，不然无解

shenlanAZ

4 天前

你把它搞欠费试试看

skiy

4 天前

不会吧？我的移动、电信经常挂掉。电信好像还是账密方式。

wefgonujnopu

4 天前

应该是一个月吧

ciki

4 天前

不是，一个月失效

coolcoffee

4 天前

你把 token 丢到 https://jwt.io/里面去，大概率能看到有效期。jwt 如果不做实时校验的话，在有效期内都是可以用的。

eggt

4 天前

不用 alist 还有啥好用的吗

nieyujiang

4 天前

@eggt #7 openlist. alist 的 fork 版本.提供了一个自建的 token 刷新鉴权的 api.

gunner168

3 天前

没有永久，我以前用 alist 隔一段时间就得重新填授权码，

syubo2810

3 天前

万恶 JWT ，到期时间写死的

635925926

3 天前

所以 jwt 的作用是啥

chenluo0429

3 天前

@635925926
分布式验证，不需要向中心服务器验签。
自带数据段，一些基础的数据可以直接从 jwt 中读出，而不需要做一次查询，典型的将用户 id 写进去。对比 cookie 就需要先获取对应用户

totoro52

3 天前

整个移动云盘全是外包做的，我能理解

kodise

3 天前

我怎么记得是一段时间会失效，我亲手就因为到期重新获取过 token 才能用

BlueSky335

3 天前

@kodise 从我配置好，到现在一次都没掉过，而且我重置密码了删除了可信设备这些之后，alist 还是能获取网盘内的内容。

BlueSky335

3 天前

@coolcoffee 很明显不是 JWT 的格式，JWT 用.分成了三段，他这个没有

maggch97

3 天前

@BlueSky335 token 本来就不是自动撤销的，都有过期时间

zxjxzj9

3 天前

说实话令牌这东西只要发给客户端之后就是一直有效的，能撤销的只有服务端（过期也好换签名也好）

Dididadada

3 天前

之前我发现百度网盘我改了密码之后，在设备上访问也完全不需要重新登录的，点开就能进，不知道现在还是不是这样

BardOS

3 天前

不可能的，一个月就挂，准时的很，我每隔 1 月就弄一次，烦得很

第 1 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/1142696

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.