在第一篇文章中总结出了很多JWT的特点,本篇我们解决在使用JWT过程中出现的问题解决思路。下面我们带着问题进入我的思路。
在使用JWT来认证的系统中,token是标识一个用户的身份、权限唯一标识,如果token泄露,不能保证盗用者拿token来做好事。因此安全起见,普遍token有效期非常短。
假设我们token有效期5分钟,如果没有token刷新机制,用户每5分钟重新登录;那不炸了,用户几乎什么也做不了。 为了给用户良好体验,我们实现无痛刷新,在用户不知情的情况下重新获取token,维持客户端与服务器的连接状态。
这就是解决JWT最大的缺点,当我们成功签发一个token后,只要它不过期不被篡改,服务器仍然可以成功校验。那么用户修改密码、退出登录、另一台设备登录,我们应该废除原来的token的。并且做到主动过期也提高了我们系统安全。
整体思路:
因篇幅问题不能全部显示,请点此查看更多更全内容
Copyright © 2019- hzar.cn 版权所有 赣ICP备2024042791号-5
违法及侵权请联系:TEL:199 1889 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务