由于最近 Alist 的风波,我发现移动云盘的 Authorization 令牌一旦签发就永久有效,没法撤销。 - V2EX
首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
BlueSky335
V2EX    NAS

由于最近 Alist 的风波,我发现移动云盘的 Authorization 令牌一旦签发就永久有效,没法撤销。

  •   
  •   BlueSky335 99 天前 4614 次点击
    这是一个创建于 99 天前的主题,其中的信息可能已经有所发展或是发生改变。

    由于最近 Alist 的风波,我发现移动云盘的认证 Authorization 一旦签发就永久有效,没法撤销。

    尝试去移动云盘删除可信设备,重置密码等,但是 Authorization 依然有效,alist 仍然能正常挂载。

    一般来说这种认证令牌不应该都有有效期吗,重置密码之类的操作应该吊销所有的令牌才对啊。 移动这么干感觉这是一个很大的安全隐患。

    有没有什么方法让已经签发的 Authorization 失效?

  • authorization
  • aList
  • 云盘
    26 条回复    2025-08-25 13:50:10 +08:00
    Quint
        1
    Quint  
       99 天前   1
    如果是你说的这样,那么用的应该是不带二次校验的 JWT 授权,除非移动主动修复,不然无解
    shenlanAZ
        2
    shenlanAZ  
       99 天前
    你把它搞欠费试试看
    skiy
        3
    skiy  
       99 天前 via iPhone
    不会吧?我的移动、电信经常挂掉。电信好像还是账密方式。
    wefgonujnopu
        4
    wefgonujnopu  
       99 天前
    应该是一个月吧
    ciki
        5
    ciki  
       99 天前
    不是,一个月失效
    coolcoffee
        6
    coolcoffee  
       99 天前   1
    你把 token 丢到 https://jwt.io/里面去,大概率能看到有效期。jwt 如果不做实时校验的话,在有效期内都是可以用的。
    eggt
        7
    eggt  
       99 天前
    不用 alist 还有啥好用的吗
    ZeoKarl
        8
    ZeoKarl  
       99 天前
    @eggt #7 openlist. alist 的 fork 版本.提供了一个自建的 token 刷新鉴权的 api.
    gunner168
        9
    gunner168  
       99 天前 via iPhone
    没有永久,我以前用 alist 隔一段时间就得重新填授权码,
    syubo2810
        10
    syubo2810  
       99 天前
    万恶 JWT ,到期时间写死的
    635925926
        11
    635925926  
       99 天前
    所以 jwt 的作用是啥
    chenluo0429
        12
    chenluo0429  
       99 天前 via Android
    @635925926
    分布式验证,不需要向中心服务器验签。
    自带数据段,一些基础的数据可以直接从 jwt 中读出,而不需要做一次查询,典型的将用户 id 写进去。对比 cookie 就需要先获取对应用户
    MIUIOS
        13
    MIUIOS  
       99 天前
    整个移动云盘全是外包做的,我能理解
    kodise
        14
    kodise  
       99 天前
    我怎么记得是一段时间会失效,我亲手就因为到期重新获取过 token 才能用
    BlueSky335
        15
    BlueSky335  
    OP
       99 天前
    @kodise 从我配置好,到现在一次都没掉过,而且我重置密码了删除了可信设备这些之后,alist 还是能获取网盘内的内容。
    BlueSky335
        16
    BlueSky335  
    OP
       99 天前
    @coolcoffee 很明显不是 JWT 的格式,JWT 用.分成了三段,他这个没有
    penzi
        17
    penzi  
       99 天前
    @BlueSky335 token 本来就不是自动撤销的,都有过期时间
    zxjxzj9
        18
    zxjxzj9  
       99 天前
    说实话令牌这东西只要发给客户端之后就是一直有效的,能撤销的只有服务端(过期也好换签名也好)
    Dididadada
        19
    Dididadada  
       99 天前
    之前我发现百度网盘我改了密码之后,在设备上访问也完全不需要重新登录的,点开就能进,不知道现在还是不是这样
    BardOS
        20
    BardOS  
       99 天前
    不可能的,一个月就挂,准时的很,我每隔 1 月就弄一次,烦得很
    635925926
        21
    635925926  
       99 天前
    @chenluo0429 不带二次校验就会出现 op 说的问题啊。至于自带数据段,没什么用啊,能带啥数据?带用户信息的话,修改个昵称得重新下发 jwt ?
    635925926
        22
    635925926  
       99 天前
    @chenluo0429 而且 jwt 无法做到踢下线的功能,就是 op 提到的删除可信设备的功能
    blackmolycat
        23
    blackmolycat  
       98 天前
    都是一个月搞一次的,哪有永久的移动
    BlueSky335
        24
    BlueSky335  
    OP
       49 天前
    @blackmolycat 又过了这么久了,49 天了,这个令牌依然没过期。。。。。
    Drumming
        25
    Drumming  
       47 天前
    @BlueSky335 #24 好奇是什么渠道获取的 Authorization
    BlueSky335
        26
    BlueSky335  
    OP
       46 天前
    @Drumming 忘了,就是按照 Alist 的教程从 cookie 里拿的,不过我猜,APP 扫码登录和直接输手机号登录网页版,拿到的 Authorization 会不会有啥不一样。
    关于     帮助文档     自助推广系统     博客     API     FAQ     Solana     1195 人在线   最高记录 6679       Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 24ms UTC 17:32 PVG 01:32 LAX 10:32 JFK 13:32
    Do have faith in what you're doing.
    ubao snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86