前同事把 jwt token 存在 sql 里,做法是不是有问题?
yamedie · 2019-08-09 08:03:56 +08:00 via Android · 14928 次点击这是一个创建于 1933 天前的主题,其中的信息可能已经有所发展或是发生改变。
在一个公众号外包项目里,与前同事不期而遇,他后端我前端。jwt 竟然被这样应用,想问:
1、这种使用姿势好处在哪里?感觉如果不验证 token 只读库比对的话,也许自己生成个 uuid 与 userId 做关联就可以了,为什么要用 jwt ?
2、验证 jwt 有这么耗时吗?之前用 nodejs 写过 jwt 的 demo,没有察觉到解码 jwt 的开销。
3、是否 secret 写的简短一些,token 就会短一些,解码耗时就少一些?
 |
101
xiangyuecn 2019-08-09 21:31:29 +08:00
翻页😎
|
 |
102
alaikis 2019-08-09 21:42:41 +08:00
存数据库没问题,传用户 ID 没必要吧
|
 |
103
chinvo 2019-08-09 22:27:01 +08:00 via iPhone
@abcbuzhiming #95 原理上来讲自己实现一个加密、签名逻辑,等于造了个 jwt 轮子。
密码学和信息安全上最忌讳闭门造车,所以把 jwt “扩展”一下这样用是很普遍的。 比如 asp.net core identity 就可以把 session 配置为数据库存储,以大幅度减小 cookie 和 token 体积,identityserver 和 asos 在这种模式下发放的 token 就是我前面说的模式。 |
Select Language