使用JWT做令牌用户信息要保存到token里吗?

贺志营
Java领域优质创作者
2020-10-05 09:59:02
之前用的是cookie和session来做的登录注册,现在前后端分离了,浏览器不支持第三方cookie了,于是用了JWT,而后端也不愿用session了,那么用户信息要保存到token的payload里吗?
...全文
12755 9 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
9 条回复
切换为时间正序
请发表友善的回复…
发表回复
lolitaline 2020-10-08
  • 打赏
  • 举报
回复
无状态的认证服务JWT是不错的选择,可以结合Redis,shiro或者spring security来使用。github上面很多现成的示例。
qybao 2020-10-05
  • 打赏
  • 举报
回复
可以存用户信息 比如aws的cognito,如果用alb做自动验证,token不光有用户信息,还有group信息。当然,敏感信息是不保存到token的。
tianfang 2020-10-05
  • 打赏
  • 举报
回复
不建议这么做, 首先,用户信息写入token,token信息不保密,则token一旦被产生泄露,会产生安全风险。虽然可以加密,但是由于客户端是js,对黑客是可见的 还有,就是要评估你写入的用户信息是什么?暴漏给黑客会产生哪些风险
tianfang 2020-10-05
  • 打赏
  • 举报
回复
引用 4 楼 贺志营 的回复:
[quote=引用 2 楼 tianfang 的回复:]又研究了一下jwt,我认为不适合你的跨域用户管理场景 http://codegrids.com/articles/2018/12/25/jwt-ap-exc/
那敢问大佬,有没有什么好的建议做用户管理[/quote] 跨域资源共享(CORS)
摸鱼小能手tay 2020-10-05
  • 打赏
  • 举报
回复
引用 1 楼 tianfang的回复:
不建议这么做, 首先,用户信息写入token,token信息不保密,则token一旦被产生泄露,会产生安全风险。虽然可以加密,但是由于客户端是js,对黑客是可见的 还有,就是要评估你写入的用户信息是什么?暴漏给黑客会产生哪些风险
所以你对token进行加密啊
贺志营 2020-10-05
  • 打赏
  • 举报
回复
引用 1 楼 tianfang 的回复:
不建议这么做, 首先,用户信息写入token,token信息不保密,则token一旦被产生泄露,会产生安全风险。虽然可以加密,但是由于客户端是js,对黑客是可见的 还有,就是要评估你写入的用户信息是什么?暴漏给黑客会产生哪些风险
如果是不保存用户信息的话,那我后端需要获取到用户信息应该怎么做呢,查询数据库? 如果保存用户信息的话,打算就保存用户id,name,不会保存password或其他敏感信息
贺志营 2020-10-05
  • 打赏
  • 举报
回复
引用 2 楼 tianfang 的回复:
又研究了一下jwt,我认为不适合你的跨域用户管理场景 http://codegrids.com/articles/2018/12/25/jwt-ap-exc/
那敢问大佬,有没有什么好的建议做用户管理
贺志营 2020-10-05
  • 打赏
  • 举报
回复
如果是不保存用户信息的话,那我后端需要获取到用户信息应该怎么做呢,查询数据库? 如果保存用户信息的话,打算就保存用户id,name,不会保存password或其他敏感信息
tianfang 2020-10-05
  • 打赏
  • 举报
回复
又研究了一下jwt,我认为不适合你的跨域用户管理场景 http://codegrids.com/articles/2018/12/25/jwt-ap-exc/

81,122

社区成员

发帖
与我相关
我的任务
社区描述
Java Web 开发
社区管理员
  • Web 开发社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧