是否建议使用JWT令牌的签名部分将已撤销的令牌列入黑名单?原因是我想确定我为数据库中的已撤销令牌存储的标识符的大小。将来,我可能会在JWT有效负载中添加更多数据,并且令牌中没有任何唯一的JTI。
我使用的签名算法是HS256。
答案 0 :(得分:0)
我真的不认为在任何用例中都使用JWT的签名是一种好习惯。其目的是使JWT独特且“安全”。经过大量研究,我发现最佳实践是使用JWT的有效负载。它的主张也是公开的,与它们的合作要容易得多。对于jti部分,您可以使用UUID。对于随机数和唯一数,尤其是标识符,它们是最好的。