【发布时间】:2016-09-28 02:58:19
【问题描述】:
看起来 jwt 令牌内部确实包含必要的信息,并且通过加密签名确保了这些数据的正确性。是否有任何理由将此令牌保留在服务器上的某处,或者“发布并忘记”策略应该没问题?
【问题讨论】:
标签: authentication authorization token jwt
看起来 jwt 令牌内部确实包含必要的信息,并且通过加密签名确保了这些数据的正确性。是否有任何理由将此令牌保留在服务器上的某处,或者“发布并忘记”策略应该没问题?
【问题讨论】:
标签: authentication authorization token jwt
不,没有理由在服务器端存储 JWT 令牌。您可以通过检查签名来验证令牌。无需与任何服务器对话。
如果令牌的有效期很短,则无需撤销访问令牌本身。
另一方面,刷新令牌存储在授权服务器上,有很长的寿命并且可以撤销。
【讨论】: