- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我刚刚读过The Ins and Outs of Token-based Authentication 。它声称可扩展性是基于服务器的身份验证的主要问题,因为服务器必须在本地存储 session 。它会提示基于 token 的身份验证
作为解决方法。
但是真的吗?
身份验证只是可能导致可扩展性问题的地方之一。只要服务器端存储了任何特定于用户的状态信息,无论它存储在 session 范围还是 Web 应用程序范围,也会导致可扩展性问题。如果说仅基于 token 的身份验证就可以解决可扩展性问题,那就太夸张了。还有太多其他更强大的因素。 仅仅因为基于 token 的身份验证是无状态的,并不意味着整个服务器可以是无状态的。
我们以 JWT 为例,通过definition of JWT :
JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed.
我认为 JWT 不适合存储身份验证数据之外的状态信息。因为JWT存储的常见合理位置都有较小的大小限制,例如HTTP header、Cookie。
你同意吗?有人可以解释一下吗?
最佳答案
您的应用程序是否需要 session 状态来处理其他事情不会影响使用 JWT token 的可扩展性特征。
完全有可能设计一个真正的无状态应用程序,在这种情况下,使用基于 token 的身份验证可以让您保持无状态。
您不应使用安全 token 来存储 session 信息,因为 token 已签名并且 session 信息通常是不稳定的。每次声明之一发生更改时,发行人都需要放弃 token 。
关于session - 基于 token 的身份验证和可扩展性?幻觉?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34646565/
我刚刚读过The Ins and Outs of Token-based Authentication 。它声称可扩展性是基于服务器的身份验证的主要问题,因为服务器必须在本地存储 session 。它
我是一名优秀的程序员,十分优秀!