上面的方案里面,我们提到了让资源服务器不再访问授权服务器,那会存在什么问题呢?
资源服务器访问授权服务的本质在于2 点:
第一点:资源服务器无法验证token 的正确性,因为它没有存储token
第二点:资源服务要通过授权服务器来换取用户(token 换user)。
我们来推演:资源服务器当前只能得到用户给他的token,我们能做的改造有限:
第一步:若我们将用户的基本信息存储在token 里面呢?
第二步:定义一种加密规则,让资源服务器也能去判断该token 的正确性。
这样,我们的JWT 就上场了。看看JWT 的定义: