【发布时间】:2018-02-26 20:50:39
【问题描述】:
我正在尝试使用 OAuth 2 构建授权和身份验证系统,但我对不同字符串的生成有一些疑问。
-
client_id:为了生成client_id,我使用来自mongoDB的ObjectId,它是这种形式:507f1f77bcf86cd799439011 -
client_secret:我使用由 NodeJS 的crypto模块创建的随机生成的字符串(48 个字符) -
access_token:目前,我使用 JWT Token,因为我喜欢能够通过该令牌保存信息的原理,并且能够在每次请求时无需查询身份验证服务器即可访问资源(无状态架构)。 -
refresh_token:我也想为这种令牌使用 JWT。
问题是:在 OAuth 2 中使用 JWT 令牌是一种不好的做法吗?如果这是一个不好的做法,为什么?他们对我的client_id 和client_secret 一代有什么不好吗?
【问题讨论】: