实现登录流程时,由于我们的重点是扩展性,因此我选择了JWT。过去,该系统会在单体应用程序中基于会话令牌进行。JWT意味着我们不再需要为用户会话缓存服务器了。但现在我有些困惑:
如果我通过保留密钥的黑名单来解决撤销和令牌窃取的问题(这是建议),那么从上面的角度看,它与使用会话令牌没有区别,因为我每次请求都需要查询。
也许我没有充分理解或者想错了。也许-找不到已屏蔽的JWT的结果比完全检索要快。
感谢任何能够澄清这个问题的建议 :)
实现登录流程时,由于我们的重点是扩展性,因此我选择了JWT。过去,该系统会在单体应用程序中基于会话令牌进行。JWT意味着我们不再需要为用户会话缓存服务器了。但现在我有些困惑:
如果我通过保留密钥的黑名单来解决撤销和令牌窃取的问题(这是建议),那么从上面的角度看,它与使用会话令牌没有区别,因为我每次请求都需要查询。
也许我没有充分理解或者想错了。也许-找不到已屏蔽的JWT的结果比完全检索要快。
感谢任何能够澄清这个问题的建议 :)