php – Zweifel an der Verwendung von JWT

Question

1. Wie gestaltet man die Token-Aktualisierungslogik unter Verwendung von JWT zur API-Überprüfung? Das generierte Token und ein Aktualisierungstoken speichern?

2. Muss JWT auch das generierte Token speichern? Wenn Benutzer erneut Token beantragen, Passwörter ändern und andere Vorgänge ausführen, löschen Sie die ursprünglichen Token?

oAuth und JWT sind etwas verwirrend.

Answer 1

JSON Web Token

是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。

例如：在A用户关注了B用户的时候，系统发邮件给B用户，并且附有一个链接“点此关注A用户”。链接的地址可以是这样：

https://your.awesome-app.com/make-friend/?jwt=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

见 http://blog.leapoahead.com/20...。

OAuth

OAuth是一个关于授权（authorization）的开放网络标准。

例如：有一个"云冲印"的网站，可以将用户储存在Google的照片，冲印出来。用户为了使用该服务，必须让"云冲印"读取自己储存在Google上的照片。问题是只有得到用户的授权，Google才会同意"云冲印"读取这些照片。那么，"云冲印"怎样获得用户的授权呢？

见 http://www.ruanyifeng.com/blo...。

所以

二者都是以令牌来验证请求是否安全。

但，二者不应该混谈，因为一个是小鸟，另一个是大炮。