这是一个创建于 3031 天前的主题,其中的信息可能已经有所发展或是发生改变。
标题不是很明确, 请看描述
最近正在用spring boot + Vue.js 撸一个 web 应用, 想省点事将web和app共用一个后台, 用户认证部分采用服务端生成 tokens 的方式实现. tokens 参照 jwt 标准生成. 遇到两个问题不知道怎么解决
- 在服务端生成 token 时设定超时时间, 用户在超时范围内一直在不间断使用的话, 到了超时的时候服务器要不要为客户端生成新的 token, 并且服务器如何确定是真的客户端在使用, 而不是其他人通过网络手段获取某客户端的 token 从而一直在使用
- 客户端主动退出登录, 之前的 token 对于服务器来说, 只要在超时范围内就一直生效, 如何在服务端禁用
暂时应对方法:
- 忽略, 超时就是超时
- 在 server 端生成 jwt 时有一个 jti 是其唯一身份标识, 缓存该标识, 收到客户端退出请求时, 通过 jti 对 token 处理, 但是这样的话就得在 server 端存储 token 部分信息, 就感觉和 session 做认证差不多了, 有没有其他解决方式
 | 1 Athrob 2017-09-21 07:27:17 +08:00 我也想知道, 目前我是在服务端缓存了 token 的部分信息的. 每次请求都判断是否合法. |
 | 2 pengfei OP @Athrob 感觉这样做有点和 jwt 的标准相悖了 不知道大佬们有木有更好的解决方法 > This is a stateless authentication mechanism as the user state is never saved in server memory |
| 3 Athrob 2017-09-21 10:17:35 +08:00 @pengfei #2 他说的无状态应该是不靠服务端来获取用户状态, 而是直接存在 token 里, 是这样吗? session 的话还要根据 session id 去服务器获取用户状态. |
| 4 Athrob 2017-09-21 10:21:13 +08:00 对这些概念不是很了解, 能完成需求就好吧, 不要太在意标准. |
| 5 pengfei OP @Athrob 现在的做法也是这样, 没接触过互联网项目, 只能采用传统的做法了. 网上搜了下, 感觉自己钻牛角尖了, jwt 这种方式保证了任何客户端的请求都携带了能够证明自己的信息, 只要我们将服务器端缓存 jti 的部分能让所有 server 能关联, 那也变相的实现: 客户端各个请求独立并包含所有目标服务器所理解的请求信息 > Client 发送的请求必须包含有能够让服务器理解请求的全部信息,包括自己的状态信息。使得一个 Client 的 Web 请求能够被任何可用的 Server 应答,从而将 Web 系统扩展到大量的 Client 中 -- http://blog.csdn.net/Jmilk/article/details/50461577 |
Select Language