電子メールをアクティブ化するためのURLとしてのJSON Web Token（JWT）

リンクするFAQ は言う：

URL内のJWTトークンの使用例は次のとおりです。

• アカウントの確認-ユーザーがサイトに登録した後にリンクをメールで送信した場合。 https://yoursite.co/account/verify?token=jwt.goes.here
• パスワードの再設定-パスワードを再設定した人がアカウントに属するメールにアクセスできるようにします。 https://yoursite.co/account/reset-password?token=jwt.goes.here

これらはどちらも、1回限りのトークン（クリックすると有効期限が切れます）に適しています。

あ、はい。各メールが一度だけアクティブ化できることを確認してください（例のひどい「秘密」鍵を使用しないでください。署名が偽造される可能性がある場合、検証をバイパスできます）。

JWTのようなステートレストークンの使用は、トークンに署名するために使用するシークレットとそれを検証する方法が安全である限り安全です。ただし、パスワードリセットURIでauth-tokenとしてJWTを使用する前に考慮すべき特定の追加の側面があります...

特定のJWTを無効化することはできず（状態を再度保持せずに）、有効期限が十分ではない（この特定の場合）ので、基本的に必要なのは、JWTであり、ワンタイムまたはシングルUse-Token。その理由は、単一のpassword-reset-linkを1回以上使用してパスワードをリセットしたくない場合があるためです。これにより、潜在的に攻撃者はユーザーを完全にロックアウトできます（継続的にパスワードを変更することにより）。

これがどのように機能するかをここで説明しました： JWTを使用したシングルユーストークン -基本的に、サーバー側にある状態（たとえば、ユーザーのハッシュ）を変更する必要がありますパスワード）をHMACキーに入力し、それを使用してユーザー固有のトークンに署名します。これは、パスワードが変更された後のトークン検証の失敗につながります...