正如jwt.io中所写的那样。“有效载荷包含我们作为开发人员认为对我们的应用程序有用的声明形式的任意信息。”所以我认为将username,email等放在那里会很方便。在这种情况下,我无需在身份验证过程中从数据库或文件系统获取此信息。如果应用程序分布在许多服务器上,它就会被吹捧为优势。
但我看到这里是一个令人讨厌的障碍。如果由于更改用户帐户信息而更改了有效负载,该怎么办?由于签名仍然有效,所有旧签发的令牌仍然有效。因此,我将从旧令牌有效负载中获取错误的用户帐户信息。
我错过了jwt令牌背后的想法?
答案 0 :(得分:0)
JWT的可选声明exp指定了令牌失效后的到期时间,接收方应拒绝该时间。 JWT令牌背后的想法是,您使用exp时间戳发出它们,直到JWT中的信息有效为止。
如果您的用户帐户信息每天都在变化,exp应该不会超过JWT发布时间的24小时。在该时间戳之后,发送者应该在将其发送给收件人之前出去并获得新的JWT,以便新JWT中的信息是新鲜的。