首先这个文章说的是对的,不同意这个文章观点的人还没有理解jwt.jwt确实有很多问题.首先无状态,决定了你无法主动销毁一个jwt token,导致用户的禁用/修改密码等操作无法主动让之前的jwt token失效.很多人就在db里做个关联什么的,那不就变成了cookies/session了吗?看了评论发现幼稚的人太多.根本没有理解无状态和jwt就出来乱喷.类似的文章国外多了去了.而且国外还有人更改了jwt的定义.让某部分不参与签名等方式.达到主动过期或失效等.
IP属地:天津
-
-
但不参与签名带来的问题就是无法验明真身.也不是很合理.
讲真,别再使用JWT了!
摘要: 在Web应用中,使用JWT替代session并不是个好主意 适合JWT的使用场景 抱歉,当了回标题党。我并不否认JWT的价值,只是它经常被误用。 什么是JWT 根据维...
-
首先这个文章说的是对的,不同意这个文章观点的人还没有理解jwt.jwt确实有很多问题.首先无状态,决定了你无法主动销毁一个jwt token,导致用户的禁用/修改密码等操作无法主动让之前的jwt token失效.很多人就在db里做个关联什么的,那不就变成了cookies/session了吗?看了评论发现幼稚的人太多.根本没有理解无状态和jwt就出来乱喷.类似的文章国外多了去了.而且国外还有人更改了jwt的定义.让某部分不参与签名等方式.达到主动过期或失效等.
讲真,别再使用JWT了!
摘要: 在Web应用中,使用JWT替代session并不是个好主意 适合JWT的使用场景 抱歉,当了回标题党。我并不否认JWT的价值,只是它经常被误用。 什么是JWT 根据维...