首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  程序员

前同事把 jwt token 存在 sql 里,做法是不是有问题?

  •  
  •   yamedie · 98 天前 via Android · 8892 次点击
    这是一个创建于 98 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在一个公众号外包项目里,与前同事不期而遇,他后端我前端。jwt 竟然被这样应用,想问:

    1、这种使用姿势好处在哪里?感觉如果不验证 token 只读库比对的话,也许自己生成个 uuid 与 userId 做关联就可以了,为什么要用 jwt ?

    2、验证 jwt 有这么耗时吗?之前用 nodejs 写过 jwt 的 demo,没有察觉到解码 jwt 的开销。

    3、是否 secret 写的简短一些,token 就会短一些,解码耗时就少一些?

    S90808-21500074.jpg

    103 回复  |  直到 2019-08-09 22:27:01 +08:00
    1  2  
        101
    xiangyuecn   97 天前
    翻页😎
        102
    alaikis   97 天前
    存数据库没问题,传用户 ID 没必要吧
        103
    chinvo   97 天前 via iPhone
    @abcbuzhiming #95 原理上来讲自己实现一个加密、签名逻辑,等于造了个 jwt 轮子。

    密码学和信息安全上最忌讳闭门造车,所以把 jwt “扩展”一下这样用是很普遍的。

    比如 asp.net core identity 就可以把 session 配置为数据库存储,以大幅度减小 cookie 和 token 体积,identityserver 和 asos 在这种模式下发放的 token 就是我前面说的模式。
    1  2  
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3507 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 22ms · UTC 05:20 · PVG 13:20 · LAX 21:20 · JFK 00:20
    ♥ Do have faith in what you're doing.