都说jwt是自校验,可以根据header解析用户信息,并且token是无状态的,那么有个场景,如果在测试环境有个用户admin,其登录后生成token,我把他拿到生产环境去请求接口,正常逻辑肯定是不行的,那么服务端是如何知道这个token不能用的?
有人把token放到redis,登录成功后就放到redis,那这里不就和分布式系统下使用session+redis的解决方案一样了?和官方宣称的就相悖了
都说jwt是自校验,可以根据header解析用户信息,并且token是无状态的,那么有个场景,如果在测试环境有个用户admin,其登录后生成token,我把他拿到生产环境去请求接口,正常逻辑肯定是不行的,那么服务端是如何知道这个token不能用的?
有人把token放到redis,登录成功后就放到redis,那这里不就和分布式系统下使用session+redis的解决方案一样了?和官方宣称的就相悖了
jwt确实可以不用redis,因为它的加解密本身就是有时效性的,如果过了这个时效,你是没法重新解析的,就用这个做登录失效