5.2.1.2 用户令牌策略
文档摘要
5.2.1.2 用户令牌策略 5.2.1.2 用户令牌策略:当 JWT 的 不是“过期”,而是“被劫持后仍有效”的定时炸弹——一次生产环境 token 续期逻辑崩塌的真实复盘与原子级修复 凌晨 2:17,告警钉钉群弹出第 7 条红色消息:“ CPU 持续 98% 超 5 分钟,下游 43 个服务调用延迟 P99 > 8.4s”。 运维同事甩来一张线程堆栈快照:627 个线程卡死在 —— 不是解码慢,是反复校验一个已过期却仍在高频刷新的 token; 安全团队同步发来审计日志截图:同一用户 ID( )在 12 分钟内发起 14,281 次 请求,全部携带 —— 而该用户的原始登录时间是 17 小时前,按策略本应早被强制登出。 这不是 DDoS。这是我们的用户令牌策略,在静默中溃不成军。
评论区
(0)
U