【发布时间】:2019-06-25 15:13:36
【问题描述】:
据我所知,JWT 身份验证绝对是无状态的,因为 Web 服务器不会保存用户的任何状态。但是,Oauth2 不同。它将每个用户的每个密钥存储在一个身份验证服务器中,这意味着“有状态”。没有?
【问题讨论】:
【发布时间】:2019-06-25 15:13:36
【问题描述】:
据我所知,JWT auth 绝对是无状态的
不,JWT 不是绝对无状态的。它只是一种签名/加密数据的格式,您仍然需要管理密钥材料来计算或使用此类令牌。
OAuth2 不同
OAuth2 是一个框架协议。规范中没有服务器“状态”的概念。但是为了确保高安全级别,实现该协议的服务器应该必须管理客户端、初始访问令牌、访问令牌或刷新令牌、授权码......
【讨论】: