JWT(Json Web Token)
1、JWT把登錄信息(也稱作令牌)保存在客戶端,而非服務器端,天然適合分佈式系統
2、爲了防止客戶端的數據造假,保存在客戶端的令牌經過了簽名處理,而簽名的密鑰只有服務器端才知道,每次服務器端收到客戶端提交過來的令牌的時候都要檢查一下簽名
3、簽名保證了客戶端無法數據造假
4、性能更高,不需要和中心狀態服務器通訊,純內存的計算
JWT的缺點
1、到期前,令牌無法被提前撤回。什麼情況下需要撤回?用戶被刪除了、禁用了;令牌被盜用了;單設備登錄
2、需要JWT撤回的場景用傳統Session更合適
3、如果需要在JWT中實現,思路:用Redis保存狀態,或者用refresh_token+access_token機制等