首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
BlueSky335
V2EX  ›  NAS

由于最近 Alist 的风波,我发现移动云盘的 Authorization 令牌一旦签发就永久有效,没法撤销。

  •   
  •   BlueSky335 · 2025 年 7 月 3 日 · 5061 次点击
    这是一个创建于 201 天前的主题,其中的信息可能已经有所发展或是发生改变。

    由于最近 Alist 的风波,我发现移动云盘的认证 Authorization 一旦签发就永久有效,没法撤销。

    尝试去移动云盘删除可信设备,重置密码等,但是 Authorization 依然有效,alist 仍然能正常挂载。

    一般来说这种认证令牌不应该都有有效期吗,重置密码之类的操作应该吊销所有的令牌才对啊。 移动这么干感觉这是一个很大的安全隐患。

    有没有什么方法让已经签发的 Authorization 失效?

  • authorization
  • aList
  • 云盘
    26 条回复    2025-08-25 13:50:10 +08:00
    Quint
        1
    Quint  
       2025 年 7 月 3 日   ❤️ 1
    如果是你说的这样,那么用的应该是不带二次校验的 JWT 授权,除非移动主动修复,不然无解
    shenlanAZ
        2
    shenlanAZ  
       2025 年 7 月 3 日
    你把它搞欠费试试看
    skiy
        3
    skiy  
       2025 年 7 月 3 日 via iPhone
    不会吧?我的移动、电信经常挂掉。电信好像还是账密方式。
    wefgonujnopu
        4
    wefgonujnopu  
       2025 年 7 月 3 日
    应该是一个月吧
    ciki
        5
    ciki  
       2025 年 7 月 3 日
    不是,一个月失效
    coolcoffee
        6
    coolcoffee  
       2025 年 7 月 3 日   ❤️ 1
    你把 token 丢到 https://jwt.io/里面去,大概率能看到有效期。jwt 如果不做实时校验的话,在有效期内都是可以用的。
    eggt
        7
    eggt  
       2025 年 7 月 3 日
    不用 alist 还有啥好用的吗
    ZeoKarl
        8
    ZeoKarl  
       2025 年 7 月 3 日
    @eggt #7 openlist. alist 的 fork 版本.提供了一个自建的 token 刷新鉴权的 api.
    gunner168
        9
    gunner168  
       2025 年 7 月 3 日 via iPhone
    没有永久,我以前用 alist 隔一段时间就得重新填授权码,
    syubo2810
        10
    syubo2810  
       2025 年 7 月 3 日
    万恶 JWT ,到期时间写死的
    635925926
        11
    635925926  
       2025 年 7 月 3 日
    所以 jwt 的作用是啥
    chenluo0429
        12
    chenluo0429  
       2025 年 7 月 3 日 via Android
    @635925926
    分布式验证,不需要向中心服务器验签。
    自带数据段,一些基础的数据可以直接从 jwt 中读出,而不需要做一次查询,典型的将用户 id 写进去。对比 cookie 就需要先获取对应用户
    MIUIOS
        13
    MIUIOS  
       2025 年 7 月 3 日
    整个移动云盘全是外包做的,我能理解
    kodise
        14
    kodise  
       2025 年 7 月 3 日
    我怎么记得是一段时间会失效,我亲手就因为到期重新获取过 token 才能用
    BlueSky335
        15
    BlueSky335  
    OP
       2025 年 7 月 3 日
    @kodise 从我配置好,到现在一次都没掉过,而且我重置密码了删除了可信设备这些之后,alist 还是能获取网盘内的内容。
    BlueSky335
        16
    BlueSky335  
    OP
       2025 年 7 月 3 日
    @coolcoffee 很明显不是 JWT 的格式,JWT 用.分成了三段,他这个没有
    penzi
        17
    penzi  
       2025 年 7 月 3 日
    @BlueSky335 token 本来就不是自动撤销的,都有过期时间
    zxjxzj9
        18
    zxjxzj9  
       2025 年 7 月 3 日
    说实话令牌这东西只要发给客户端之后就是一直有效的,能撤销的只有服务端(过期也好换签名也好)
    Dididadada
        19
    Dididadada  
       2025 年 7 月 3 日
    之前我发现百度网盘我改了密码之后,在设备上访问也完全不需要重新登录的,点开就能进,不知道现在还是不是这样
    BardOS
        20
    BardOS  
       2025 年 7 月 3 日
    不可能的,一个月就挂,准时的很,我每隔 1 月就弄一次,烦得很
    635925926
        21
    635925926  
       2025 年 7 月 3 日
    @chenluo0429 不带二次校验就会出现 op 说的问题啊。至于自带数据段,没什么用啊,能带啥数据?带用户信息的话,修改个昵称得重新下发 jwt ?
    635925926
        22
    635925926  
       2025 年 7 月 3 日
    @chenluo0429 而且 jwt 无法做到踢下线的功能,就是 op 提到的删除可信设备的功能
    blackmolycat
        23
    blackmolycat  
       2025 年 7 月 4 日
    都是一个月搞一次的,哪有永久的移动
    BlueSky335
        24
    BlueSky335  
    OP
       2025 年 8 月 22 日
    @blackmolycat 又过了这么久了,49 天了,这个令牌依然没过期。。。。。
    Drumming
        25
    Drumming  
       2025 年 8 月 24 日
    @BlueSky335 #24 好奇是什么渠道获取的 Authorization
    BlueSky335
        26
    BlueSky335  
    OP
       2025 年 8 月 25 日
    @Drumming 忘了,就是按照 Alist 的教程从 cookie 里拿的,不过我猜,APP 扫码登录和直接输手机号登录网页版,拿到的 Authorization 会不会有啥不一样。
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   Solana   ·   3035 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 13:45 · PVG 21:45 · LAX 05:45 · JFK 08:45
    ♥ Do have faith in what you're doing.