我正在研究存储刷新令牌,但我对我发现的信息不满意。我想知道你如何存储刷新令牌?
有些人习惯将它们存储在数据库中,或像Redis一样缓存,但我认为由于JWT的性质,它应该是无状态的。但我找不到任何其他解决方案,我不想将其存储在设备存储上,因为它可能会导致严重的安全漏洞。你能分享一下你的想法吗?
谢谢您的回答
我想这取决于你想要完成什么或如何创建令牌。我发现database是一个存放refresh tokens的好地方。为什么?因为令牌更像是密码,并且在存储在数据库中时更容易保持与用户的关系。此外,无论用户使用何种设备,您始终可以从数据库访问令牌。对于其他方法,您可以在清除缓存或cookie时轻松地松开令牌。如果将它们存储到设备,用户可以切换设备。但是,您可以将从刷新令牌创建的expiring token存储到device / localstorage,cookie或其他位置。仅在创建新的过期令牌时命中数据库以获取刷新令牌。