当基于令牌的身份验证与传统的服务器身份验证进行比较时,可以说:传统方法将登录信息保存在服务器端的内存中,但基于令牌的身份验证服务器不保留任何内容。有关登录用户的信息存储在令牌本身中。
但是,我在这里没有得到一分。如果服务器没有存储任何内容,服务器如何验证令牌?我认为它应该存储密钥来解密令牌然后验证。
如果是,它存储在哪里?如果不是我错过了什么点?
答案 0 :(得分:1)
例如,查看" jwt",它使用" ssh"键
答案 1 :(得分:1)
服务器使用私钥发出令牌digitally signs令牌。
使用令牌的服务只需要公钥来验证令牌。它可以在启动或首次使用时从发布服务器下载公钥。之后,它不需要与发布服务器通信以验证令牌。如果签名有效,则服务信任令牌的内容。