返回首页
最新
我目前被拒绝删除我的Google Play开发者账户以及与之关联的个人数据的权利。<p>这包括我的居住地址,现在已经公开可见。<p>我多次请求删除,但谷歌拒绝了。<p>我并没有同意将其公开。我要求他们删除,但他们说不行。<p>我请求他们删除我的应用程序,他们也拒绝了。<p>我请求他们关闭我的账户,他们同样拒绝。<p>这严重侵犯了隐私,并且将真实的人置于危险之中。<p>请分享你们对接下来该怎么做的看法。
嗨,HN(黑客新闻),
我们正在开发CredAnt,这是一种新的远程网络连接方式,强调简单性和去中心化。厌倦了复杂的VPN配置和对集中式服务器的担忧吗?我们也是。
CredAnt的设计旨在极其简单易用。我们的目标是零配置:安装后,您就可以像连接同一局域网中的设备一样,轻松连接到远程设备。
我正在构建一个应用程序,并且不打算通过引用使用令牌,因此选择使用JWT(JSON Web Tokens)。但是有一个要求是管理员需要能够撤销用户会话,这就需要在数据库中存储JWT、它们的ID或某些哈希值,并增加额外的查找。对一个用户进行此操作意味着撤销他们可能在多个设备上生成的所有JWT,而我们并不知道具体要撤销哪些令牌。
我的解决方案是添加两个声明(id和sid),并在用应用程序密钥签署令牌之前,先用用户密钥对sid进行签名。
当令牌到达时,我首先用应用程序密钥对其进行验证。如果无效或已过期,我们返回401状态码。
如果有效,我会用用户密钥验证sid,因为我现在知道它属于谁。
对用户密钥的额外查找增加的开销非常小,因为我们已经进行了预认证,这可以视为业务逻辑。
因此,撤销所有用户会话只需更改用户的密钥。
你们对此有什么看法?有没有什么漏洞?