JWT的正确工作流程是什么?

时间:2016-01-03 14:10:41

标签: authentication jwt

我正在研究一个API,我正试图围绕授权。我刚刚了解了JSON Web令牌,我理解了这个概念,但有一些我有疑问的事情。

  1. 一旦我获得了最初的JWT,每当我从客户端向服务器发出请求时,我是否只将其包含在标题中?
  2. 从服务器响应客户端时,是否也包含它?
  3. 每当我发送请求时(在任一方向上),我是否必须更新到期时间?

    4. 谢谢!

1 个答案:

答案 0 :(得分:2)

  1. 如果您需要能够对请求进行身份验证,是的,您需要向JWT发送请求。如果没有这个,可以进行不需要身份验证的呼叫。
  2. 不,您不需要在每个回复中都包含它。一旦浏览器分配了JWT(登录时),您就可以将其存储在浏览器(localstorage)中,直到它被调整或删除(例如注销)
  3. 应设置过期时间,以便令牌在您需要的时间段内保持有效。就像cookie会话一样,设置了到期时间。到期时间戳使JWT有效,直到到期为止。
相关问题
最新问题