目前项目用的springsecurity,前后端分离,以下观点是我目前能想到的问题,还请友友们给出建议。
一.不使用jwt生成token,自定义随机数生成token,然后将token存在session和redis中,每次请求判断session和redis中的token一致性
- 优点:
- 简单
- 可以保持会话,半小时未操作,需重新登录
- 缺点:
1.axios每次请求都会生成不同的sessionid,如果要从session中获取token,又需携带cookie,容易造成csrf攻击
2.用户多了之后,服务器有压力
二.使用jwt生成token和refreshtoken,token过期后自动刷新
- 缺点:
1.如果refreshtoken时间设置过长,可能会导致用户永远不用重新登录的情况
2.若半小时未操作,也不会重新登录
3.账号被挤下线,也不会及时给消息。难道要用websocket吗
如果使用token和refreshtoken,那么各自设置多长时间比较合适