使用JWT做令牌用户信息要保存到token里吗?

贺志营
Java领域优质创作者
2020-10-05 09:59:02
之前用的是cookie和session来做的登录注册,现在前后端分离了,浏览器不支持第三方cookie了,于是用了JWT,而后端也不愿用session了,那么用户信息要保存到token的payload里吗?
...全文
12755 9 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
9 条回复
切换为时间正序
请发表友善的回复…
发表回复
lolitaline 2020-10-08
  • 打赏
  • 举报
 回复
无状态的认证服务JWT是不错的选择,可以结合Redis,shiro或者spring security来使用。github上面很多现成的示例。
qybao 2020-10-05
  • 打赏
  • 举报
 回复
可以存用户信息 比如aws的cognito,如果用alb做自动验证,token不光有用户信息,还有group信息。当然,敏感信息是不保存到token的。
tianfang 2020-10-05
  • 打赏
  • 举报
 回复
不建议这么做, 首先,用户信息写入token,token信息不保密,则token一旦被产生泄露,会产生安全风险。虽然可以加密,但是由于客户端是js,对黑客是可见的 还有,就是要评估你写入的用户信息是什么?暴漏给黑客会产生哪些风险
tianfang 2020-10-05
  • 打赏
  • 举报
 回复
引用 4 楼 贺志营 的回复:
[quote=引用 2 楼 tianfang 的回复:]又研究了一下jwt,我认为不适合你的跨域用户管理场景 http://codegrids.com/articles/2018/12/25/jwt-ap-exc/
那敢问大佬,有没有什么好的建议做用户管理[/quote] 跨域资源共享(CORS)
摸鱼小能手tay 2020-10-05
  • 打赏
  • 举报
 回复
引用 1 楼 tianfang的回复:
不建议这么做, 首先,用户信息写入token,token信息不保密,则token一旦被产生泄露,会产生安全风险。虽然可以加密,但是由于客户端是js,对黑客是可见的 还有,就是要评估你写入的用户信息是什么?暴漏给黑客会产生哪些风险
所以你对token进行加密啊
贺志营 2020-10-05
  • 打赏
  • 举报
 回复
引用 1 楼 tianfang 的回复:
不建议这么做, 首先,用户信息写入token,token信息不保密,则token一旦被产生泄露,会产生安全风险。虽然可以加密,但是由于客户端是js,对黑客是可见的 还有,就是要评估你写入的用户信息是什么?暴漏给黑客会产生哪些风险
如果是不保存用户信息的话,那我后端需要获取到用户信息应该怎么做呢,查询数据库? 如果保存用户信息的话,打算就保存用户id,name,不会保存password或其他敏感信息
贺志营 2020-10-05
  • 打赏
  • 举报
 回复
引用 2 楼 tianfang 的回复:
又研究了一下jwt,我认为不适合你的跨域用户管理场景 http://codegrids.com/articles/2018/12/25/jwt-ap-exc/
那敢问大佬,有没有什么好的建议做用户管理
贺志营 2020-10-05
  • 打赏
  • 举报
 回复
如果是不保存用户信息的话,那我后端需要获取到用户信息应该怎么做呢,查询数据库? 如果保存用户信息的话,打算就保存用户id,name,不会保存password或其他敏感信息
tianfang 2020-10-05
  • 打赏
  • 举报
 回复
又研究了一下jwt,我认为不适合你的跨域用户管理场景 http://codegrids.com/articles/2018/12/25/jwt-ap-exc/
普通令牌tokenjwt令牌token区别以及使用场景
文章目录token分类普通令牌JWT令牌 token分类 SpringSecurityOauth2令牌 参考URL: https://www.yuque.com/gaoxi-dj1fr/fxgaxe/ivvpqc 1.普通令牌的作用:唯一标识存贮在数据库或内存中的用户信息,在认证时,SpringSecurity拿着普通令牌去数据库中查询用户信息使用 2.jwt令牌的作用:jwt令牌中本身存储着用户信息,在认证时,SpringSecurity从jwt令牌中解析出用户信息即可,不需要借助数据库等进行存储 普通令
使用JWT生成Token令牌
使用JWT生成Token令牌 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 JWT什么? 授权 这是使用JWT的最常见的方案,一旦用户登陆,
JWT token令牌使用
JWT简称 json web token, 也就是通过JSON形式作为Web应用中的令牌,用于各方之间安全地将信息作为JSON格式进行传输。在传输过程中可以完成数据的加密,签名等相关处理。
jwttoken如何刷新?
jwttoken如何刷新?jwttoken如何刷新?jwttoken如何刷新?jwttoken如何刷新?jwttoken如何刷新?jwttoken如何刷新?jwttoken如何刷新?jwttoken如何刷新?jwttoken如何刷新?jwttoken如何刷新?jwttoken如何刷新?
JWT鉴权】如何来写一个token令牌认证登录?
JWT是的简称,是一种令牌生成算法。使用JWT能够保证Token的安全性,且能够进行Token时效性的检验。使用JWT时,登录成功后将用户信息生成一串令牌字符串。将该字符串返回给客户端,客户端每次请求时都在请求头携带该令牌字符串。在其他模块验证令牌,通过则证明用户处于登录状态,并拿到解析后的用户信息,未通过证明用户处于未登录状态。
Web 开发

81,122

社区成员

341,744

社区内容

发帖
与我相关
我的任务
社区描述
Java Web 开发
社区管理员
  • Web 开发社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章