寻找有关前端/后端用户身份验证的一些建议

时间:2016-09-17 14:58:11

标签: mongodb authentication express ember.js jwt

我在后面运行了一个mock expressjs服务器,并使用ember-simple-auth-token插件在前面运行ember(ember-simple-auth)。我使用的是JWT令牌。我试图决定发送用户信息的最佳方式。通常当用户提交他们的凭证时,我创建一个新令牌,将其副本存储在数据库中(我使用mongodb),将其发送到前端,然后使用令牌获取信息用户信息。我有一个/ auth / token(它验证并发送令牌,制作副本并将其存储在数据库中)& / current_user路由在初始登录时被调用,该登录使用令牌并获取用户信息。

仅仅通过单独的路由在令牌的初始有效负载中发送用户信息是否更好?我是否应该在数据库中存储副本以进行比较并检索用户信息?

令牌刷新有什么好处?

1 个答案:

答案 0 :(得分:0)

您正在使用Jwt-Auth进行身份验证。 - 根据我的知识,在发送用户凭据后,如果凭据正确,您将使用令牌进行响应,否则会发送错误。

- 为什么要在db中保存令牌?   您将向客户端发送令牌(无状态)。如果客户端请求数据,那么我们需要检查令牌。如果它有效,则返回正确的响应,否则返回令牌错误。

- 为什么你需要令牌刷新?  出于安全目的。每次更改令牌后都会响应。  TTL你的令牌有效一段时间(比如60分钟)。之后它将无效。

这就是JWT的工作方式。