首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
BlueSky335
V2EX  ›  NAS

由于最近 Alist 的风波,我发现移动云盘的 Authorization 令牌一旦签发就永久有效,没法撤销。

  •   
  •   BlueSky335 · 74 天前 · 4528 次点击
    这是一个创建于 74 天前的主题,其中的信息可能已经有所发展或是发生改变。

    由于最近 Alist 的风波,我发现移动云盘的认证 Authorization 一旦签发就永久有效,没法撤销。

    尝试去移动云盘删除可信设备,重置密码等,但是 Authorization 依然有效,alist 仍然能正常挂载。

    一般来说这种认证令牌不应该都有有效期吗,重置密码之类的操作应该吊销所有的令牌才对啊。 移动这么干感觉这是一个很大的安全隐患。

    有没有什么方法让已经签发的 Authorization 失效?

  • authorization
  • aList
  • 云盘
    26 条回复    2025-08-25 13:50:10 +08:00
    Quint
        1
    Quint  
       74 天前   ❤️ 1
    如果是你说的这样,那么用的应该是不带二次校验的 JWT 授权,除非移动主动修复,不然无解
    shenlanAZ
        2
    shenlanAZ  
       74 天前
    你把它搞欠费试试看
    skiy
        3
    skiy  
       74 天前 via iPhone
    不会吧?我的移动、电信经常挂掉。电信好像还是账密方式。
    wefgonujnopu
        4
    wefgonujnopu  
       74 天前
    应该是一个月吧
    ciki
        5
    ciki  
       74 天前
    不是,一个月失效
    coolcoffee
        6
    coolcoffee  
       74 天前   ❤️ 1
    你把 token 丢到 https://jwt.io/里面去,大概率能看到有效期。jwt 如果不做实时校验的话,在有效期内都是可以用的。
    eggt
        7
    eggt  
       74 天前
    不用 alist 还有啥好用的吗
    nieyujiang
        8
    nieyujiang  
       74 天前
    @eggt #7 openlist. alist 的 fork 版本.提供了一个自建的 token 刷新鉴权的 api.
    gunner168
        9
    gunner168  
       74 天前 via iPhone
    没有永久,我以前用 alist 隔一段时间就得重新填授权码,
    syubo2810
        10
    syubo2810  
       74 天前
    万恶 JWT ,到期时间写死的
    635925926
        11
    635925926  
       74 天前
    所以 jwt 的作用是啥
    chenluo0429
        12
    chenluo0429  
       74 天前 via Android
    @635925926
    分布式验证,不需要向中心服务器验签。
    自带数据段,一些基础的数据可以直接从 jwt 中读出,而不需要做一次查询,典型的将用户 id 写进去。对比 cookie 就需要先获取对应用户
    totoro52
        13
    totoro52  
       74 天前
    整个移动云盘全是外包做的,我能理解
    kodise
        14
    kodise  
       74 天前
    我怎么记得是一段时间会失效,我亲手就因为到期重新获取过 token 才能用
    BlueSky335
        15
    BlueSky335  
    OP
       74 天前
    @kodise 从我配置好,到现在一次都没掉过,而且我重置密码了删除了可信设备这些之后,alist 还是能获取网盘内的内容。
    BlueSky335
        16
    BlueSky335  
    OP
       74 天前
    @coolcoffee 很明显不是 JWT 的格式,JWT 用.分成了三段,他这个没有
    maggch97
        17
    maggch97  
       74 天前
    @BlueSky335 token 本来就不是自动撤销的,都有过期时间
    zxjxzj9
        18
    zxjxzj9  
       74 天前
    说实话令牌这东西只要发给客户端之后就是一直有效的,能撤销的只有服务端(过期也好换签名也好)
    Dididadada
        19
    Dididadada  
       74 天前
    之前我发现百度网盘我改了密码之后,在设备上访问也完全不需要重新登录的,点开就能进,不知道现在还是不是这样
    BardOS
        20
    BardOS  
       74 天前
    不可能的,一个月就挂,准时的很,我每隔 1 月就弄一次,烦得很
    635925926
        21
    635925926  
       74 天前
    @chenluo0429 不带二次校验就会出现 op 说的问题啊。至于自带数据段,没什么用啊,能带啥数据?带用户信息的话,修改个昵称得重新下发 jwt ?
    635925926
        22
    635925926  
       74 天前
    @chenluo0429 而且 jwt 无法做到踢下线的功能,就是 op 提到的删除可信设备的功能
    blackmolycat
        23
    blackmolycat  
       73 天前
    都是一个月搞一次的,哪有永久的移动
    BlueSky335
        24
    BlueSky335  
    OP
       23 天前
    @blackmolycat 又过了这么久了,49 天了,这个令牌依然没过期。。。。。
    Drumming
        25
    Drumming  
       22 天前
    @BlueSky335 #24 好奇是什么渠道获取的 Authorization
    BlueSky335
        26
    BlueSky335  
    OP
       21 天前
    @Drumming 忘了,就是按照 Alist 的教程从 cookie 里拿的,不过我猜,APP 扫码登录和直接输手机号登录网页版,拿到的 Authorization 会不会有啥不一样。
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5329 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 09:38 · PVG 17:38 · LAX 02:38 · JFK 05:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.