引言
使用JWT时,有一个十分头疼问题就是:用户主动注销、强制登出(禁止登陆)、忘记密码、修改密码、JWT续签、踢出下线时,服务器不能让token主动失效!
本文将探索关于这个问题的解决方案。
目录:
什么是JWT
JWT的特点
JWT主动失效方案
JWT主动失效最佳实践
进阶优化
总结
1.什么是JWT
JWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
2.JWT的特点
无状态:JWT包含认证信息,token只需要保存在客户端,服务端不需要保存会话信息,所以JWT是无状态的。这一点使得服务器压力大大降低,增加了系统的可用性和可扩展性。但是无状态同时也是JWT最大的缺点,服务器无法主动让token失效。
安全性:客户端每次请求都会携带token,可以有效避免CSRF攻击&#x