如题,如果网站做大点,往往是使用分布式 session,统一存储或者根据 hash 映射到对应的机器?
还是使用类似 jwt 这样的机制,把存储交给客户端来完成?
后者是直接把 jwt 值直接放在Authorization头部还是放在 Cookie 头部呢?另外会不会再对 jwt 做个简单的加密?
毕竟我看了好多网站并没有 Authorization 头部,而且 Cookie 里也没有类似 jwt 格式的值。
This topic created in 2364 days ago, the information mentioned may be changed or developed.
 |
1
dcalsky Dec 3, 2019
JWT: Token 放 Header 的 Authorization 字段里,私密信息不要放 payload 里。对 token 不必要再加密了,因为生成 token 的时候,已经有一个加密过程(比如 HS256 )了。建议再看下简介: https://jwt.io/introduction/
|
 |
2
asche910 OP @dcalsky 这些我知道,只是比较疑惑看了那么多的大网站,请求里都没有带上 Authorization 头部。那是不是说那些网站都是采用的 session 机制呢
|
 |
3
FinnBai Dec 3, 2019  1
想起了我一年多前发过的帖子,也是类似问题
总结来说就是有些场景需要服务器端存储用户会话状态,所以还是用 session 更好,JWT 更适合的场景还是一次性授权令牌 |
Select Language