标签: authentication authorization token jwt
看起来jwt令牌本身就包含必要的信息,并且通过加密签名确保了这些数据的正确性。是否有任何理由在服务器上某处保留此令牌或“问题和遗忘”政策应该没问题?
答案 0 :(得分:1)
不,没有理由在服务器端存储JWT令牌。您可以通过检查签名来验证令牌。无需与任何服务器通信。
如果令牌的生存时间很短,则无需撤销访问令牌。
另一方面,刷新令牌存储在授权服务器上,生存时间很长,可以撤销。