Spring Boot 中 JWT 的最佳实践是啥?

Posted

技术标签:

【中文标题】Spring Boot 中 JWT 的最佳实践是啥?【英文标题】:What is the best practice for JWT in Spring Boot?Spring Boot 中 JWT 的最佳实践是什么? 【发布时间】:2022-01-07 11:24:14 【问题描述】:

我想用 Spring Boot 和 JWT 启动一个项目,我看到了一些将刷新令牌保存在数据库中的示例,所以我的问题是我必须将刷新令牌插入数据库,还是我有另一种最佳实践方式? 如果我必须插入数据库,为了删除过期的令牌,我应该在 Spring 中工作吗?

非常感谢

【问题讨论】:

【参考方案1】:

在刷新令牌流的情况下,安全地管理刷新令牌是客户端的责任。一旦访问令牌过期,客户端可以使用之前保存的刷新令牌来获取新的访问权限和可选的刷新令牌。当您询问在服务器端存储刷新令牌的方法时,我认为将其存储在数据存储中以供以后验证目的,同时发布新的访问令牌具有一个重要优势。通过这样做,您始终可以限制或撤销对服务的访问。在刷新令牌具有更长的验证时间并且服务器在刷新令牌流期间没有使用新的访问令牌发出新的刷新令牌的情况下,这将是有意义的。

【讨论】:

以上是关于Spring Boot 中 JWT 的最佳实践是啥?的主要内容,如果未能解决你的问题,请参考以下文章

在 Spring Boot 中处理审计的最佳方法是啥?

ehcache 或 Spring MVC 的 Spring 缓存中的最佳缓存实践是啥?

在rest apis(spring)中响应个性化对象的最佳实践是啥[关闭]

使用 Thymeleaf 在 Spring Boot 中记录 Activity 的最佳方法是啥?

Spring Boot 2从入门到入坟 | 最佳实践篇:Spring Boot应用该如何编写?

两年摸爬滚打 Spring Boot,总结了这 16 条最佳实践