1
rebornlv 166 天前
如果要禁止多设备登录就不用 jwt ,直接生成一个加密的 token 字符串保存到 redis 中。
防止掉登录,可以设置一个过期时间+刷新时间,在有效刷新时间内可以刷新 token |
2
hhecoder 166 天前 via Android
直接用 token ,每次请求进来都更新在 redis 中的有效期
|
3
lyusantu 166 天前
token 过期时间给-1 或者>1 年就完事了,反正你是靠 redis 来管理的
|
4
budgerigar 166 天前
再加一个 refreshToken ,app 登陆时刷新 token
|
5
XCFOX 166 天前
都存 redis 了,那用 jwt 设过期时间也没有太大意义了。
我的建议是直接换成类 session token ,格式是 `{user-id}-{random-string}`,拿类 session token 作为键、用户信息作为值存进 redis 。 https://v2ex.com/t/979326 |