据我所知,JWT auth绝对是无状态的,因为Web服务器不会保存用户的任何状态。但是,Oauth2是不同的。它将每个用户的每个密钥存储在auth服务器中,这意味着“有状态”。不?
答案 0 :(得分:0)
我知道,JWT auth绝对是无状态的
不,JWT并非绝对是无状态的。它只是用于签名/加密数据的一种格式,您仍然必须管理关键材料才能计算或使用此类令牌。
OAuth2不同
OAuth2是一个框架协议。规范中没有服务器“状态”的概念。但是为了确保较高的安全性,实施该协议的服务器必须管理客户端,初始访问令牌,访问令牌或刷新令牌,授权代码...