php - Des doutes sur l'utilisation de JWT

Question

1. En utilisant JWT pour la vérification de l'API, comment concevoir la logique d'actualisation des jetons ? Enregistrer le jeton généré et un jeton d'actualisation ?

2. JWT doit-il également enregistrer le jeton généré ? Lorsque les utilisateurs demandent à nouveau des jetons, modifient leurs mots de passe et effectuent d'autres opérations, effacent-ils les jetons d'origine ?

oAuth et JWT sont un peu déroutants.

Answer 1

Jeton Web JSON

est une spécification très légère. Cette spécification nous permet d'utiliser JWT pour transmettre des informations sécurisées et fiables entre les utilisateurs et les serveurs.

Par exemple : lorsque l'utilisateur A suit l'utilisateur B, le système envoie un email à l'utilisateur B avec un lien "Cliquez ici pour suivre l'utilisateur A". L'adresse du lien peut être comme ceci :

https://your.awesome-app.com/make-friend/?jwt=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

Voir http://blog.leapoahead.com/20….

OAuth

OAuth est un standard de réseau ouvert pour l'autorisation.

Par exemple : il existe un site Web « d'impression cloud » qui permet d'imprimer les photos stockées par les utilisateurs sur Google. Pour utiliser ce service, les utilisateurs doivent laisser « Cloud Print » lire leurs photos stockées sur Google. Le problème est que Google n'autorisera « Cloud Print » à lire ces photos qu'avec l'autorisation de l'utilisateur. Alors, comment « Cloud Printing » obtient-il l’autorisation de l’utilisateur ?

Voir http://www.ruanyifeng.com/blo….

Alors

Les deux utilisent des jetons pour vérifier si la demande est sûre.

Il ne faut cependant pas confondre les deux, car l’un est un oiseau et l’autre un canon.