OAuth:我应该在令牌中存储哪些信息

时间:2014-01-29 10:10:20

标签: oauth-2.0

我正在创建一个向用户发放令牌的OAuth服务器。但是,我不想在数据库中存储令牌,我希望处理速度很快。

我在想的是在令牌中包含各种信息,这样当我解密它时,信息已足以检查权限和范围。

当我添加更多范围时,我有点担心令牌的长度增长。

这是个好主意吗?如果没有,你能推荐什么?

1 个答案:

答案 0 :(得分:1)

您在这里所说的是InMemoryTokenStore,它是默认实现。此外,Oauth2已经以授权服务器向各种客户端提供的不同访问角色的形式维护检查令牌中的权限和范围所需的信息。我认为您不需要在令牌中明确存储任何内容。