找施工员在哪个网站上找,wordpress 发布视频,专业网站建设软件,网站推广去哪家比较好JWT
JWT由三部分组成#xff1a;头部#xff08;Header#xff09;、有效载荷#xff08;Payload#xff09;和签名#xff08;Signature#xff09;头部通常指定了Token的类型和使用的哈希算法#xff1b;有效载荷包含了一系列的声明#xff0c;例如用户的ID、Token…JWT
JWT由三部分组成头部Header、有效载荷Payload和签名Signature头部通常指定了Token的类型和使用的哈希算法有效载荷包含了一系列的声明例如用户的ID、Token的发行者和过期时间签名用于验证消息的完整性和确保Token没有被篡改JWT通常用作访问Token用户登录后会收到一个JWT之后每次请求需要访问受保护的资源时都需要携带该JWT优点: 由于Token自包含即包含了所有用户状态信息这减少了服务器查数据库的需要缺点: 存储在客户端如果Token被截获将会暴露所有用户信息
Token一旦被发出就无法在服务器端废除它即除非过期否则一直有效
双token机制
适用场景用户登录权限用户首次成功登录后服务端生成两个令牌access_token 和 refresh_token。 refresh_token 拥有比 access_token 更长的有效期用于在 access_token 过期时进行刷新服务端将两个令牌返回给用户用户将它们储存起来以便之后使用用户在之后的每个请求中将 access_token 放入请求的授权头Authorization header以便服务端验证用户的身份及有效性如果服务端检测到 access_token 已失效它会返回相关的错误响应如HTTP 401状态码App在接收到令牌失效的响应后不会直接通知用户而是自动使用储存的 refresh_token 向服务端发起请求请求新的 access_token服务端接收 refresh_token验证其有效性然后生成新的 access_token和可选的 refresh_token并将它们返回给用户 这一步骤中服务端可能只返回新的 access_token或同时返回新的 access_token 和 refresh_token具体取决于安全策略和令牌的生命周期管理 用户使用新的 access_token 继续他们的请求而服务端继续验证新令牌的有效性
主从token机制
适用场景支付/转账场景当用户1首次请求支付订单时服务端为该次交易生成一个唯一的主令牌master_token服务端将生成的master_token返回给用户1用户1需要保存这个令牌以完成接下来的支付过程当用户2请求支付订单且此时用户1的master_token已经过期时服务端会生成一个新的master_token已过期的master_token不会被立即废弃而是作为备用令牌backup_token被存储起来服务端将新生成的master_token返回给用户2用户2同样需要将此令牌保存以用于支付用户1使用其保存的现在已过期的master_token尝试进行支付服务端检测到该令牌无效后会尝试验证之前存储为backup_token的过期令牌如果backup_token有效服务端允许支付动作完成用户2使用其有效的master_token进行支付服务端校验成功后允许支付动作完成当用户3请求支付订单时与用户2被发放的master_token也已经过期服务端重复前面的过程生成新的master_token且旧的master_token转变为backup_token
