How to handle JWT revocation with MQTT

MQTT 和 JWT 简介

MQTT (Message Queuing Telemetry Transport) 是一种轻量级的、基于发布/订阅模式的消息传输协议，广泛用于设备和服务器间的通信，特别是在物联网（IoT）场景中。它允许设备发布消息到主题，并允许其他设备订阅这些主题以接收相应的消息。

JWT (JSON Web Tokens) 是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT 通常用于认证和信息交换，它允许你验证发送者的身份，并传递一些用户或设备的状态信息。

处理 JWT 撤销的挑战

JWT 本身是一种无状态的认证机制，它不需要服务器保存每一个令牌的状态。这带来了一些挑战，尤其是在需要撤销某个特定 JWT 的情况下。通常，JWT 撤销需要某种形式的状态管理，以跟踪哪些令牌是有效的，哪些已被撤销。

使用 MQTT 实现 JWT 撤销的策略

1. 撤销列表 (Revocation List):

   • 描述：创建一个撤销列表，保存所有被撤销的 JWT 的唯一标识符（比如 jti - JWT ID）。
   • 实现：可以使用 MQTT 的主题来发布和订阅撤销事件。每当一个 JWT 被撤销时，就将其 jti 发送到一个特定的 MQTT 主题（比如 jwt_revoked）。
   • 设备操作：设备订阅 jwt_revoked 主题，每收到一个消息，就将这个 jti 加入到本地的撤销列表中。在验证 JWT 时，设备首先检查 JWT 的 jti 是否在撤销列表中。

2. 时间戳验证:

   • 描述：利用 JWT 的 exp (过期时间) 字段来限制令牌的有效性。尽管这不是直接的撤销，但可以通过设定较短的过期时间，强制令牌定期更新。
   • 实现：在设备接收 JWT 时，检查 exp 字段确保令牌未过期。同时，可以通过 MQTT 发布新的、更新的 JWT 至相关主题，以实现类似撤销的效果。

实际应用示例

假设你正在管理一个物联网环境，其中多个设备需要安全地接收来自中央服务器的命令。你可以设定如下机制：

• 中央服务器 发布 JWTs 至主题 device_tokens/{device_id}，每个设备只订阅自己对应的主题。
• 一旦检测到某个设备的安全问题，中央服务器发布该设备 JWT 的 jti 至 jwt_revoked。
• 所有设备订阅 jwt_revoked 主题，并维护一个本地撤销列表。设备将定期检查自己的 JWT 是否在这个列表上。
• 设备在每次执行操作前验证 JWT 的有效性（检查 exp 和撤销列表）。

结论

通过结合 MQTT 的发布/订阅能力和 JWT 的安全特性，我们可以有效地管理大量设备的认证状态，实现JWT的动态撤销，而无需为每个设备维护持续的连接状态。这种方法特别适合于资源受限的 IoT 环境。