由于最近 Alist 的风波,我发现移动云盘的 Authorization 令牌一旦签发就永久有效,没法撤销。

4 天前
 BlueSky335

由于最近 Alist 的风波,我发现移动云盘的认证 Authorization 一旦签发就永久有效,没法撤销。

尝试去移动云盘删除可信设备,重置密码等,但是 Authorization 依然有效,alist 仍然能正常挂载。

一般来说这种认证令牌不应该都有有效期吗,重置密码之类的操作应该吊销所有的令牌才对啊。 移动这么干感觉这是一个很大的安全隐患。

有没有什么方法让已经签发的 Authorization 失效?

3775 次点击
所在节点    NAS
23 条回复
635925926
4 天前
@chenluo0429 不带二次校验就会出现 op 说的问题啊。至于自带数据段,没什么用啊,能带啥数据?带用户信息的话,修改个昵称得重新下发 jwt ?
635925926
4 天前
@chenluo0429 而且 jwt 无法做到踢下线的功能,就是 op 提到的删除可信设备的功能
blackmolycat
3 天前
都是一个月搞一次的,哪有永久的移动

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/1142696

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX