我有一个API应用程序,现在正在重构以支持基于JWT的身份验证。在对有关身份验证提供程序的实现方式进行简短调查之后,我this solution。
但有趣的是,它将令牌存储在实现TokenStorage的{{1}}实例中。由于TokenStorageInterface没有传入参数,我想知道app是如何知道检索到的令牌真的来自当前用户(如果我们讨论的是RESTful服务,那应该是无状态的)?
UPD:我在考虑将解码后的有效令牌/用户存储在TokenStorageInterface.getToken()集合中,因此Request.attributes将始终返回有效的当前用户。您如何看待这种方法?这样就不会涉及令牌存储,因此我可以确保令牌不存储在服务器端的某处......