1. 去中心化的JWT token
優點:
1. 去中心化,便於分佈式系統使用
2. 基本信息可以直接放在token中。 username,nickname,role
3. 功能權限信息可以直接放在token中。用bit位表示用戶所具有的功能權限。
缺點:服務端無法主動讓token失效
2. 中心化的 redis token
優點:服務端可以主動讓token失效
缺點:每次都要進行redis查詢。佔用redis存儲空間。
3. 優化方案:
3.1. Jwt Token中,增加TokenId字段。
3.2. 將TokenId字段存儲在redis中,用來讓服務度可以主動控制token失效
3.3 犧牲了JWT去中心化的特點。
3.4 可以使用非對稱加密。頒發token的認證服務器存儲私鑰:私鑰生成簽名。其他業務系統存儲公鑰:公鑰驗證簽名。