我已经使用JJWT库实现了JWT令牌验证,并在其中完成了以下操作
技术堆栈:
JAVA,jessery,JJWT库,ORACLE DB
场景1:
source_file jwtToken = Jwts.builder().setSubject(user).setAudience(issuer).setExpiration(dateExp).
setIssuedAt(dateNow).signWith(SignatureAlgorithm.RS512, key).compact();
到目前为止,这是JWT的一般行为,但是如果有多个用户登录,JWT将会如何验证令牌是否属于特定用户,这使我感到困惑
就像如果USER1(ADMIN)令牌被盗用,并且USER2(INTRUDER /低级别访问)使用API调用一样,请求URL中没有提供用户详细信息。由于此处使用的令牌是有效的,后端仅验证令牌是否被篡改且有效,它将允许访问。请让我知道如何验证用户特定的令牌。
场景2
如何处理用户令牌过期的情况,我们是否具有刷新令牌类型的功能以及如何实现它和指针会有所帮助