token 有必要保存在数据库吗?

你应该先说说场景，再来问有没必要保存到数据库鸭，为什么反着问

@yunye 除了保存登录状态, 我想不到其他场景了

用户权鉴?用 jwt，加密解密即可，感觉不需要存储

一次性 token 还是长时间 token ？是否很重要？刷新 token 的时机？是否有 API throttling 问题？ 这些才是是否落盘的决定因素

@huangdayu jwt 没有加密, 也没有解密吧, 载荷是 base64 编码的. 你说的是签名?

redis 缓存里面就行，除非是长期的那种。

@luozic 长期和短期有什么区别? 不能每次请求登录接口都发新的 token 吗?

长期就类似给用户一个长时间的钥匙，下次进来不用登录。或者自动刷新 token，短期就是你说的这种。 现在的 App 都是长期+自动更新 Token 这种

jwt 那种东西想要吊销有点困难吧
@Fiora

@Fiora 可加密，只要盐没有暴露就安全，加密有很多种算法

@cpdyj0 如果不保存的话确实没办法注销, 只能让前端自己清除了

@huangdayu 问题是已经有加盐的签名了为什么还需要加密