jwt 不记名令牌是不是应该在服务器端的某个地方持续存在
Posted
技术标签:
【中文标题】jwt 不记名令牌是不是应该在服务器端的某个地方持续存在【英文标题】:Should jwt bearer tokens persist somewhere on the serversidejwt 不记名令牌是否应该在服务器端的某个地方持续存在 【发布时间】:2016-09-28 02:58:19 【问题描述】:看起来 jwt 令牌内部确实包含必要的信息,并且通过加密签名确保了这些数据的正确性。是否有任何理由将此令牌保留在服务器上的某处,或者“发布并忘记”策略应该没问题?
【问题讨论】:
【参考方案1】:不,没有理由在服务器端存储 JWT 令牌。您可以通过检查签名来验证令牌。无需与任何服务器对话。
如果令牌的有效期很短,则无需撤销访问令牌本身。
另一方面,刷新令牌存储在授权服务器上,有很长的寿命并且可以撤销。
【讨论】:
以上是关于jwt 不记名令牌是不是应该在服务器端的某个地方持续存在的主要内容,如果未能解决你的问题,请参考以下文章
Web API 验证来自自定义身份验证提供程序的 JWT 不记名令牌
添加基于策略的授权会跳过 JWT 不记名令牌身份验证检查吗?
为啥我的 JWT 不记名身份验证在令牌说 5 分钟后将令牌识别为过期?