当然如果只是用JWT存储少量数据并且安全性要求也没有那么严格情况下,不用redis,完全客户端存储也是可行的,因为在加入私钥的情况下要解密难度还是很大的。
至于提前失效可以在后端加入更多的逻辑来实现。或者直接不允许提前失效,后端只不续签Token,这样对用户体验会有一些影响,就看现实中怎么取舍了。
如何优雅的处理JWT过期问题一上来就是干,然后翻车了 初次看到JWT,然后就觉得分布式session就是个垃圾,设置过期时间15天,过期提现前端刷新。一推理立马翻车,如果用户登陆的时候是14天23小时5...
现在用JWT实际上是替代了原来的cookie传输,更加安全、传输和存储方式也更多样,而且适用没有Cookie的客户端。
使用redis的原因是JWT并没有想象中的那么美好:
1. 虽然JWT本身能存储一些信息,但是存储的数据数据多了验证要花的时间就更多;
2. JWT荷载基本上是明文,要加密又得花时间解密。
3. 信息量一多又得占用大量带宽,这玩意儿可是每一次请求都要带上的。
4. 花大量的时间在解密的路上可能还没有查一次redis来的快。
5. 就算是加密也并非绝对的安全,永远不要把用户登录信息这些敏感数据交给前端存储,加密也不行。
6. 并且如果要登出、修改密码就得让令牌提前失效,单纯的JWT完成不了提前失效操作的。
所以使用JWT完全将数据存储在客户端是不现实的。现在用JWT更多的是作为一个替代Cookie传输的方案,只存储少量不敏感的信息,因为JWT的特性,JWT令牌不容易被篡改、伪造和盗用,安全性更高,后端还是需要redis这样的存储方案,JWT只起到类似于原来jsessionid那样的作用。
如何优雅的处理JWT过期问题一上来就是干,然后翻车了 初次看到JWT,然后就觉得分布式session就是个垃圾,设置过期时间15天,过期提现前端刷新。一推理立马翻车,如果用户登陆的时候是14天23小时5...
@风散_b078 但是Sping提供了完成类似工作的拦截器HttpSessionHandshakeInterceptor
springboot2.0+websocket集成【群发消息+单对单】(一)现在用springboot集成websocket变的很方便快捷了,下面简单写个小demo,实现群发消息,单对单的聊天。主要是功能,界面将就一下。参考:http://tech....
妙啊hxd,这一句
HttpServletRequest servletRequest = ((ServletServerHttpRequest) request).getServletRequest();
一看就是翻了源码的人
springboot2.0+websocket集成【群发消息+单对单】(一)现在用springboot集成websocket变的很方便快捷了,下面简单写个小demo,实现群发消息,单对单的聊天。主要是功能,界面将就一下。参考:http://tech....