摘要:而且這樣做的話�,會存在多個令牌同時有效,可能會引起一些安全問題��。這種做法也是很多人采用的一種�����。對于續(xù)期的話���,個人覺得第二種方案是比較好的一種方案��。而退出的話�,如果不考慮泄露的問題��,那么第一種方案是比較好的一種方案�。這些都是自己對的一些理解。
在使用jwt的過程中發(fā)現(xiàn)了兩個問題續(xù)期和退出的問題�。
續(xù)期
因為jwt的token在簽發(fā)之后是有過期時間的,所以就存在管理這個過期時間的問題����。我看網(wǎng)上有提出解決方案的大致有下面幾個
每次更新過期時間,跟session一樣����,每次請求的時候都會去更新下token過期時間.但是對于jwt來說,更新過期時間就意味著jwt的token會變,那么前端就需要每個請求都去保存一次新的token����。這樣使得前端的工作變的復(fù)雜起來。而且這樣做的話��,會存在多個令牌同時有效�����,可能會引起一些安全問題。
還有一個就是每隔一段時間去更新一次token�����。這種做法也是很多人采用的一種�。比如:token過期時間是一個小時。預(yù)設(shè)每五十五分鐘去更新token��。這種模式也是需要前端去配合完成的����。
退出
因為token在簽發(fā)之后在一段時間內(nèi)是一直有效的,那么這種情況�,我們怎么去管理登出呢?
簡單的方式就是客戶端直接刪除token��。但是這樣的話�����,如果token泄露了也是不安全的�。
有人提出退出的時候?qū)?b>token存放在redis中,過期時間設(shè)置為跟token的時候一樣。當(dāng)用戶在次用舊的token訪問的時候�,如果發(fā)現(xiàn)redis中存在token���,那么提示token過期。
對于續(xù)期的話��,個人覺得第二種方案是比較好的一種方案�����。而退出的話����,如果不考慮泄露的問題����,那么第一種方案是比較好的一種方案。但是如果做SSO的話可能第二種方案是比較好的一種�����,但是在用到了redis之后就違背了jwt的設(shè)計初衷����,需要與數(shù)據(jù)庫交互。
其實個人覺得�����,jwt的加密方式結(jié)合redis這種也是可以采用的。畢竟這些都是為了解決問題�。當(dāng)利用到redis之后,我們就可以將jwt擴展下�。在payload部分加載一個生成的refresh token ,這個refresh token也是有過期時間的����,我們需要將這個refresh token存放在redis中。這樣的話���,我們就可以把jwt的過期時間放在這個refresh token中維護�。續(xù)期也就是維護這個refresh token的過期時間�,退出的話 也就是刪除這個refresh token就可以了。
其實這樣的話就跟傳統(tǒng)的token驗證一樣了���,也就是外層加了一個jwt的驗證�����。
可能是我對于這方面了解的比較少��,不能想到什么有效的方案�����。這些都是自己對jwt的一些理解���。如果哪位大佬有更好的方案���,希望賜教。感謝
文章版權(quán)歸作者所有��,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/29510.html
