我应该根据IP或JWT令牌对我的API进行评级吗?

时间:2017-07-29 15:28:28

标签: api jwt

我正在对我的API实施速率限制。我可以自定义用于限制通话的密钥。我的软件是适用于公司的SaaS Web应用程序,因此我认为使用IP地址的速率限制密钥可能不好,因为我可能拥有多个用户的客户端并使用相同的IP进行多次呼叫。所以我的下一个选择是使用JWT令牌本身来限制呼叫(每5分钟更新一次)。即使它对我来说似乎是一个不错的选择,但我发现它并不是很受欢迎,因为关于它的(快速)研究没有带来人们使用它的任何结果。

使用JWT令牌作为API速率限制键有什么缺点吗?

1 个答案:

答案 0 :(得分:1)

尝试解码JWT并使用用户ID(如果它存储在那里)。

当用户从多个点切换IP地址,坐标或更新其身份验证租约时,您将拥有一个真正唯一的标识符。