标签: rest session mobile server session-management
我想学习有关管理移动应用程序用户会话的经验。
我的经验是在成功登录时返回JWT令牌,然后此令牌在服务器端持久存在,并且对于客户端的每个请求,它将令牌传递给服务器。如果验证通过(包含在数据库中),则处理请求,否则,服务器返回未授权。用户注销后,只需删除数据库中的注册表即可。
此策略是否可扩展,安全且实用? 令牌到期如何?我的业务要求中等安全级别,但是现代应用似乎永远不会注销用户。
任何人都可以分享有关经验,良好做法和其他解决方案的信息吗?