php - JWT的使用疑惑

Question

1. 采用JWT做API的验证，如何设计token刷新的逻辑？将生成的token以及再生成一个刷新token存下来？

2. JWT是否也需要将生成的token存下来？当用户重新申请token,更改密码以及其他操作的时候清除原有token?

oAuth 和JWT有点搞不清了。

Answer 1

JSON Web Token

是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。

例如：在A用户关注了B用户的时候，系统发邮件给B用户，并且附有一个链接“点此关注A用户”。链接的地址可以是这样：

https://your.awesome-app.com/make-friend/?jwt=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

见 http://blog.leapoahead.com/20...。

OAuth

OAuth是一个关于授权（authorization）的开放网络标准。

例如：有一个"云冲印"的网站，可以将用户储存在Google的照片，冲印出来。用户为了使用该服务，必须让"云冲印"读取自己储存在Google上的照片。问题是只有得到用户的授权，Google才会同意"云冲印"读取这些照片。那么，"云冲印"怎样获得用户的授权呢？

见 http://www.ruanyifeng.com/blo...。

所以

二者都是以令牌来验证请求是否安全。

但，二者不应该混谈，因为一个是小鸟，另一个是大炮。