BladeX中如何对所有请求中的token做合法性校验?

Java 未结 2 3090
dkyi
dkyi 剑童 2019-08-29 16:26
悬赏:5

关于jwt的鉴权,我在网上看到是这样的流程:

1、用户使用用户名密码来请求服务器 
2、服务器进行验证用户的信息 服务器通过验证发送给用户一个token 
3、客户端存储token,并在每次请求时附送上这个token值 服务端验证token值,并返回数据 
4、这个token必须要在每次请求时传递给服务端,它应该保存在请求头里, 
另外,服务端要支持CORS(跨来源资源共享)策略,一般我们在服务端这么做就可以了Access-Control-Allow-Origin:*。

所以我认为bladex所有的请求都会带上token,后端对所有请求拦截后做token合法校验。

但是这个校验是怎么做,肯定不会说去查询sql。

那是每次登陆后生成的token同时放到了redis里面,然后把请求带过来的token和redis中取出来的tokne做对比吗?还是说是其他方式?9


2条回答
  • 2019-08-29 17:20

    直接用signKey,即服务端保存的签名密钥去解密。解密失败,则代表token伪造。

    1 讨论(0)
  • 2019-08-29 16:45

    不需要redis就行,每个token都有有效期,后台只验证签发的token是否有效,用的是JWT的方式!

    0 讨论(0)
提交回复