请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
由于最近 Alist 的风波,我发现移动云盘的认证 Authorization 一旦签发就永久有效,没法撤销。
尝试去移动云盘删除可信设备,重置密码等,但是 Authorization 依然有效,alist 仍然能正常挂载。
一般来说这种认证令牌不应该都有有效期吗,重置密码之类的操作应该吊销所有的令牌才对啊。 移动这么干感觉这是一个很大的安全隐患。
有没有什么方法让已经签发的 Authorization 失效?
23 条回复 • 2025-07-04 16:37:11 +08:00
 |
1
Quint 3 天前  1
如果是你说的这样,那么用的应该是不带二次校验的 JWT 授权,除非移动主动修复,不然无解
|
 |
2
shenlanAZ 3 天前
你把它搞欠费试试看
|
 |
3
skiy 3 天前 via iPhone
不会吧?我的移动、电信经常挂掉。电信好像还是账密方式。
|
 |
4
wefgonujnopu 3 天前
应该是一个月吧
|
 |
5
ciki 3 天前
不是,一个月失效
|
 |
6
coolcoffee 3 天前 1
你把 token 丢到 https://jwt.io/里面去,大概率能看到有效期。jwt 如果不做实时校验的话,在有效期内都是可以用的。
|
 |
7
eggt 3 天前
不用 alist 还有啥好用的吗
|
 |
8
nieyujiang 3 天前
@eggt #7 openlist. alist 的 fork 版本.提供了一个自建的 token 刷新鉴权的 api.
|
 |
9
gunner168 3 天前 via iPhone
没有永久,我以前用 alist 隔一段时间就得重新填授权码,
|
 |
10
syubo2810 3 天前
万恶 JWT ,到期时间写死的
|
 |
11
635925926 3 天前
所以 jwt 的作用是啥
|
 |
12
chenluo0429 3 天前 via Android
@635925926
分布式验证,不需要向中心服务器验签。 自带数据段,一些基础的数据可以直接从 jwt 中读出,而不需要做一次查询,典型的将用户 id 写进去。对比 cookie 就需要先获取对应用户 |
 |
13
totoro52 3 天前
整个移动云盘全是外包做的,我能理解
|
 |
14
kodise 3 天前
我怎么记得是一段时间会失效,我亲手就因为到期重新获取过 token 才能用
|
 |
15
BlueSky335 OP @kodise 从我配置好,到现在一次都没掉过,而且我重置密码了删除了可信设备这些之后,alist 还是能获取网盘内的内容。
|
|
16
BlueSky335 OP @coolcoffee 很明显不是 JWT 的格式,JWT 用.分成了三段,他这个没有
|
 |
17
maggch97 3 天前
@BlueSky335 token 本来就不是自动撤销的,都有过期时间
|
 |
18
zxjxzj9 3 天前
说实话令牌这东西只要发给客户端之后就是一直有效的,能撤销的只有服务端(过期也好换签名也好)
|
 |
19
Dididadada 3 天前
之前我发现百度网盘我改了密码之后,在设备上访问也完全不需要重新登录的,点开就能进,不知道现在还是不是这样
|
 |
20
BardOS 3 天前
不可能的,一个月就挂,准时的很,我每隔 1 月就弄一次,烦得很
|
|
21
635925926 3 天前
@chenluo0429 不带二次校验就会出现 op 说的问题啊。至于自带数据段,没什么用啊,能带啥数据?带用户信息的话,修改个昵称得重新下发 jwt ?
|
|
22
635925926 3 天前
@chenluo0429 而且 jwt 无法做到踢下线的功能,就是 op 提到的删除可信设备的功能
|
 |
23
blackmolycat 2 天前
都是一个月搞一次的,哪有永久的移动
|
Select Language