V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yamedie
V2EX  ›  程序员

前同事把 jwt token 存在 sql 里,做法是不是有问题?

  •  
  •   yamedie · 2019-08-09 08:03:56 +08:00 via Android · 14287 次点击
    这是一个创建于 1694 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在一个公众号外包项目里,与前同事不期而遇,他后端我前端。jwt 竟然被这样应用,想问:

    1、这种使用姿势好处在哪里?感觉如果不验证 token 只读库比对的话,也许自己生成个 uuid 与 userId 做关联就可以了,为什么要用 jwt ?

    2、验证 jwt 有这么耗时吗?之前用 nodejs 写过 jwt 的 demo,没有察觉到解码 jwt 的开销。

    3、是否 secret 写的简短一些,token 就会短一些,解码耗时就少一些?

    S90808-21500074.jpg

    103 条回复    2019-08-09 22:27:01 +08:00
    1  2  
    xiangyuecn
        101
    xiangyuecn  
       2019-08-09 21:31:29 +08:00
    翻页😎
    alaikis
        102
    alaikis  
       2019-08-09 21:42:41 +08:00
    存数据库没问题,传用户 ID 没必要吧
    chinvo
        103
    chinvo  
       2019-08-09 22:27:01 +08:00 via iPhone
    @abcbuzhiming #95 原理上来讲自己实现一个加密、签名逻辑,等于造了个 jwt 轮子。

    密码学和信息安全上最忌讳闭门造车,所以把 jwt “扩展”一下这样用是很普遍的。

    比如 asp.net core identity 就可以把 session 配置为数据库存储,以大幅度减小 cookie 和 token 体积,identityserver 和 asos 在这种模式下发放的 token 就是我前面说的模式。
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   5818 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 01:55 · PVG 09:55 · LAX 18:55 · JFK 21:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.