我正在尝试为基于Spring MVC的REST服务实现令牌身份验证。
我跟随这个回答:https://stackoverflow.com/a/10864088/1061499作为指导,但现在我需要了解服务器端的一些细节。
当用户成功通过身份验证(第一次通过用户名+密码)后,我返回一个存储某些信息的令牌。 当同一个用户在请求标头中发送了他的令牌时,我需要识别关联的用户并定义“会话”是否仍然存在。
所以方式基本上是两个:
大多数建议使用第一个解决方案,而不在DB中存储任何有关身份验证的信息,但这种解决方案在我看来不太安全。
有什么建议吗?