漏洞关键信息总结 漏洞概述 Apache Airflow 在用户执行登出(logout)操作时,现有的 JWT 令牌机制无法立即使令牌失效。这意味着即使用户已登出,其持有的令牌在过期时间(exp)到达之前仍然有效,存在会话劫持或令牌重放攻击的风险。 影响范围 Apache Airflow 的 API 认证与令牌管理模块,具体涉及以下文件: 修复方案 1. 引入撤销表:新增 数据库表,用于持久化存储已撤销的 JWT 令牌 ID ( ) 及其过期时间 ( )。 2. 修改认证逻辑:在 函数中增加检查逻辑,在允许访问之前,验证令牌的 是否已被记录在 表中。 3. 登出处理:在登出接口中,提取当前令牌的 和 并存储到 表中,从而实现即时失效。 4. 自动清理:利用现有的 机制自动清理过期的撤销记录,防止数据库无限膨胀。 涉及代码文件列表** 由于页面主要展示的是PR的讨论和文件变更列表,未直接展示完整代码Diff,涉及的关键文件如下: