采用JWT做API的验证,如何设计token刷新的逻辑?将生成的token以及再生成一个刷新token存下来?
JWT是否也需要将生成的token存下来?当用户重新申请token,更改密码以及其他操作的时候清除原有token?
oAuth 和JWT有点搞不清了。
认证0级讲师
是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。
例如:在A用户关注了B用户的时候,系统发邮件给B用户,并且附有一个链接“点此关注A用户”。链接的地址可以是这样:
https://your.awesome-app.com/make-friend/?jwt=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM
见 http://blog.leapoahead.com/20...。
OAuth是一个关于授权(authorization)的开放网络标准。
例如:有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。问题是只有得到用户的授权,Google才会同意"云冲印"读取这些照片。那么,"云冲印"怎样获得用户的授权呢?
见 http://www.ruanyifeng.com/blo...。
二者都是以令牌来验证请求是否安全。
但,二者不应该混谈,因为一个是小鸟,另一个是大炮。
JSON Web Token
是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。
见 http://blog.leapoahead.com/20...。
OAuth
OAuth是一个关于授权(authorization)的开放网络标准。
见 http://www.ruanyifeng.com/blo...。
所以
二者都是以令牌来验证请求是否安全。
但,二者不应该混谈,因为一个是小鸟,另一个是大炮。