token 有必要保存在数据库吗?

2019-02-20 22:02:23 +08:00
 Fiora

已经有签名来保证安全性了, 是否还有必要将 token 存到数据库? 如果有, 是基于怎样的业务场景?

5467 次点击
所在节点    程序员
12 条回复
yunye
2019-02-20 22:05:08 +08:00
你应该先说说场景,再来问有没必要保存到数据库鸭,为什么反着问
Fiora
2019-02-20 22:08:32 +08:00
@yunye 除了保存登录状态, 我想不到其他场景了
huangdayu
2019-02-20 22:10:59 +08:00
用户权鉴?用 jwt,加密解密即可,感觉不需要存储
lovedebug
2019-02-20 22:11:50 +08:00
一次性 token 还是长时间 token ?是否很重要?刷新 token 的时机?是否有 API throttling 问题? 这些才是是否落盘的决定因素
Fiora
2019-02-20 22:12:39 +08:00
@huangdayu jwt 没有加密, 也没有解密吧, 载荷是 base64 编码的. 你说的是签名?
luozic
2019-02-20 22:12:54 +08:00
redis 缓存里面就行,除非是长期的那种。
Fiora
2019-02-20 22:14:35 +08:00
@luozic 长期和短期有什么区别? 不能每次请求登录接口都发新的 token 吗?
luozic
2019-02-20 22:16:59 +08:00
长期就类似给用户一个长时间的钥匙,下次进来不用登录。或者自动刷新 token,短期就是你说的这种。 现在的 App 都是长期+自动更新 Token 这种
cpdyj0
2019-02-20 22:17:38 +08:00
jwt 那种东西想要吊销有点困难吧
@Fiora
huangdayu
2019-02-20 22:20:01 +08:00
@Fiora 可加密,只要盐没有暴露就安全,加密有很多种算法
Fiora
2019-02-20 22:21:07 +08:00
@cpdyj0 如果不保存的话确实没办法注销, 只能让前端自己清除了
Fiora
2019-02-20 22:22:50 +08:00
@huangdayu 问题是已经有加盐的签名了为什么还需要加密

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/537048

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX