如果我有一个客户端将加密的身份验证令牌(包含授权密钥,用户ID和创建的时间戳的令牌)传递给我的REST API,如果我只是在服务器端解密此身份验证令牌,确保令牌仍然有效(即尚未过期),这还够吗?或者我是否应该针对此用户的当前有效身份验证令牌列表验证此身份验证令牌?
我想我在问,因为如果我必须通过对每个API调用进行数据库查找来验证此令牌,那么这不会是太多开销吗?
答案 0 :(得分:0)
即使有效期未过,您的令牌仍然无效吗?如果是,那么你确实需要检查清单。
当然会有开销,但这一切都取决于在高峰时段你是否可以轻松处理负荷。如果没有,您可以随时将这些密钥卸载到内存存储器中,例如, memcached,redis等。