在API中,jwt.sign将创建一个密钥,并将其与响应(例如登录时)一起发送。因此,当客户端发出另一个请求时,API /服务器将使用jwt.verify来检查登录用户的身份。在这里验证密钥,服务器必须存储相同的权限吗?那么怎么会是无状态的呢?
我很困惑,在这种情况下可能是错的,但是请务必提出建议。
答案 0 :(得分:1)
jwt.sign创建一个签名令牌,其中签名是使用令牌内容和密钥计算出的哈希值。秘密密钥是固定的。签名的令牌将发送给请求它的客户端。当客户端发送一个在授权标头中包含令牌的请求时,将通过再次计算散列来确定令牌。无需将令牌或签名存储在任何地方。