Sieht aus wie JWT Token wirklich enthält die notwendigen Informationen in sich selbst und die Richtigkeit dieser Daten durch kryptografische Signaturen gewährleistet. Gibt es Gründe, das Token irgendwo auf dem Server zu belassen oder sollte die "Issue and Forget" -Richtlinie in Ordnung sein?Sollten jwt Bearer Token irgendwo auf der Serverseite persistieren
1
A
Antwort
1
Nein, es gibt keinen Grund, JWT-Tokens auf der Serverseite zu speichern. Sie können das Token überprüfen, indem Sie die Signatur überprüfen. Keine Notwendigkeit, mit irgendeinem Server zu sprechen.
Wenn die Token eine kurze Zeit zu leben haben, gibt es keine Notwendigkeit, die Zugriffstoken selbst zu widerrufen.
Refresh-Token auf der anderen Seite sind auf dem Autorisierungsserver gespeichert sind, haben eine lange Zeit zu leben und zu widerrufen werden kann.