是否在服务器端存储未解码的 jwt 令牌？

Posted 2023-03-10

【中文标题】是否在服务器端存储未解码的 jwt 令牌？

【英文标题】：To store jwt token undecoded server-side or not?

【发布时间】：2015-11-26 09:47:26

【问题描述】：

如果这是一个愚蠢的问题，请原谅我。

正如标题所问，为每个请求在服务器端解码令牌不是很昂贵，存储和查找未解码的令牌不是更好吗？ 您会将会话令牌存储在 nodejs 对象或 mongodb 中吗？ Mongodb 将是另一个往返，但是您可以使用 _id 轻松查找。（如果我错了，请纠正我，我正在学习，所以建议/资源 = 非常欢迎！）

【参考方案1】：

视情况而定

仅验证签名意味着确保令牌是使用您的密钥生成的。

存储和检查令牌意味着您可以验证令牌是由您的服务器创建的。这样，您还可以使单个令牌无效，例如如果用户丢失了他/她的手机，他/她可以使手机失效。

Redis 等键值数据库通常用于此类存储，因为它们对这些简单的 put/get 操作的性能非常非常好，每秒可为您提供数十万次操作。

【讨论】：

感谢您的回复，这已经很有帮助了，所以客户端我会将 JWT 和用户名存储在 cookie 中；它不会在客户端解码吗？

如果您愿意，您可以将 JWT 存储在 Cookie 中（请参阅 stormpath.com/blog/… ）用户名通常是签名有效负载的一部分。您想将用户名存储在 JWT 本身中，例如：jwt.io 不，通常您不会在客户端对其进行解码，但是：JWT 中没有任何秘密，因为用户可以查看所有内容。请参阅上一个链接。

感谢您提供额外信息！ :)

【参考方案2】：

它现在存储在哪里？如果在 cookie 中，您不需要以解码形式将其存储在其他地方。访问任何像 mongo 这样的外部存储总是比从 base64 或 json 解码更昂贵。

同时，如果它根本不存储（并且仅用于获取访问权限），则不得将其存储在任何地方，因为 JWT 令牌就像密码一样。您必须避免将此类内容存储在您的数据库中。