採用JWT做API的驗證,如何設計token刷新的邏輯?將產生的token以及再產生一個刷新token存下來?
JWT是否也需要將產生的token存下來?當使用者重新申請token,更改密碼以及其他操作的時候清除原有token?
oAuth 和JWT有點搞不清楚了。
漂亮男人2017-05-16 13:19:13
是一個非常輕巧的規範。這個規範允許我們使用JWT在使用者和伺服器之間傳遞安全可靠的資訊。
例如:在A用戶追蹤了B用戶的時候,系統發郵件給B用戶,並且附有一個連結「點此關注A用戶」。連結的地址可以是這樣:
https://your.awesome-app.com/make-friend/?jwt=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM見 http://blog.leapoahead.com/20...。
OAuth是一個關於授權(authorization)的開放網路標準。
例如:有一個"雲沖印"的網站,可以將使用者儲存在Google的照片,沖印出來。使用者為了使用該服務,必須讓"雲端沖印"讀取自己儲存在Google上的照片。問題是只有得到使用者的授權,Google才會同意"雲端沖印"讀取這些照片。那麼,"雲端沖印"怎樣獲得使用者的授權呢?
見 http://www.ruanyifeng.com/blo...。
二者都是以令牌來驗證請求是否安全。
但,二者不應該混為一談,因為一個是小鳥,一個是大砲。