为什么我应该使用JWT而不是简单的散列令牌

时间:2017-01-26 02:38:56

标签: php jwt

JWT需要什么,因为不会共享敏感信息?

我可以创建一个令牌列,将其存储在db中并调用它,以交叉验证令牌并获取用户详细信息。

自定义生成的令牌可以使用密钥进行哈希处理,因此不会对其进行解码。当它如此简单时,为什么要使用复杂的JWT类型,它有信息。

1 个答案:

答案 0 :(得分:1)

  

JWT需要什么,因为不会共享敏感信息?

在大多数情况下,具有私人ID,过期日期或发行人的主题不能被视为敏感。并且必须在双方之间保持一个令牌,因为拥有是身份验证的证据。

在任何情况下,都可以使用JWE加密JWT内容。

  

自定义生成的令牌可以使用密钥进行哈希处理,因此不会对其进行解码。当它如此简单时,为什么要使用复杂的JWT类型,它有信息。

与不透明令牌系统相比,JWT具有一些优势:

  • 不需要服务器存储令牌
  • 令牌有到期日期
  • 在各方之间安全地共享信息。

缺点......

  • 没有撤销机制。建议不要设置黑名单,因为它会破坏JWT无状态
  • 增加令牌大小