要做实时登出的客户端 API,是不是完全不适合 JWT 鉴权?每个请求都要验证 token 有效性,传输和验证签名看起来是在浪费资源

51 天前
 drymonfidelia
2523 次点击
所在节点    程序员
25 条回复
xuanbg
51 天前
你这个就别用什么 JWT 了,一个 sessionId 发给用户,然后后端根据这个 id 来读取用户权限进行鉴权就好了。把一堆的授权信息放在 JWT 里面,纯纯的浪费流量
xuanbg
51 天前
@iseki 你这个说法没有任何道理。对于前端来说,请求头放 JWT 还是 sessionId 没有任何区别,反正多了拿到什么就放什么。所以以后改成 JWT 也好,其他的什么也罢,都只要改后端登录和身份验证、鉴权逻辑就行了,用什么就改什么,和前端半毛钱关系都没有。
iseki
50 天前
@xuanbg 我何时说跟前端有关系了?
xuanbg
50 天前
@iseki 我只是说想改随时能改啊,不存在你说的把自己的路堵死的情况
iseki
21 天前
@xuanbg

1. 已经发出去的 token 怎么办
2. 改动内容多半比开始就用 JWT 要大

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1077902

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX