首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  程序员

前同事把 jwt token 存在 sql 里,做法是不是有问题?

  •  
  •   yamedie · 42 天前 via Android · 8456 次点击
    这是一个创建于 42 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在一个公众号外包项目里,与前同事不期而遇,他后端我前端。jwt 竟然被这样应用,想问:

    1、这种使用姿势好处在哪里?感觉如果不验证 token 只读库比对的话,也许自己生成个 uuid 与 userId 做关联就可以了,为什么要用 jwt ?

    2、验证 jwt 有这么耗时吗?之前用 nodejs 写过 jwt 的 demo,没有察觉到解码 jwt 的开销。

    3、是否 secret 写的简短一些,token 就会短一些,解码耗时就少一些?

    S90808-21500074.jpg

    103 回复  |  直到 2019-08-09 22:27:01 +08:00
    1  2  
        101
    xiangyuecn   42 天前
    翻页😎
        102
    alaikis   42 天前
    存数据库没问题,传用户 ID 没必要吧
        103
    chinvo   42 天前 via iPhone
    @abcbuzhiming #95 原理上来讲自己实现一个加密、签名逻辑,等于造了个 jwt 轮子。

    密码学和信息安全上最忌讳闭门造车,所以把 jwt “扩展”一下这样用是很普遍的。

    比如 asp.net core identity 就可以把 session 配置为数据库存储,以大幅度减小 cookie 和 token 体积,identityserver 和 asos 在这种模式下发放的 token 就是我前面说的模式。
    1  2  
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1793 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 20ms · UTC 16:28 · PVG 00:28 · LAX 09:28 · JFK 12:28
    ♥ Do have faith in what you're doing.