2018-12-22想问一下,像京东和淘宝这样的APP,基本登录过后,永远都在登陆状态下,像这样的token实现机制是怎么样的?作者回复: 我认为有两种可能,一是你经常用这些app,令牌及时刷新了,二是这些应用令牌的过期时间本身设置较长,毕竟安全上可接受(如果你真买东西到支付环节还要额外认证的)。个人观点,具体要看内部实现
1
2018-05-30老师您好,我用的OAuth2 库,在账号密码授权模式下返回的token 里面包含了用户身份信息的,这个算自包含吗作者回复: token有意义包含用户等信息,就是自包含token,jwt是自包含例子
1
2019-03-17老师,你好。这边都是实验性质的demo,因为该课程的标题是实战,有贴近生产的项目实战吗?将jwt以及微服务中的各个组件一起结合起来使用的作者回复: 有,我最近正在开发一个准生产级的微服务SaaS应用,会开源,采用JWT认证,有一些工作量,预计到5月份左右开发完,你可以加我微信bulldog2015,我拉你入我的极客群,到时候会通知大家。如果你比较着急的话,可以先参考我的一个简化项目:https://github.com/jskillcloud/MovieApp,也是采用jwt认证,我正在制作一个免费视频教程,你可以留意readme中的教程链接更新。
2018-11-26老师您好!在clientdb.client_user表中access_token_validity为什么是1970-01-01 08:00:43?在实际的应用中这个字段的影响大么?作者回复: 这里的演示代码有点小问题,没有加当前时间,结果用起点时间(1970-01-01)+令牌有效期(8小时候)表示了。我会修复一下代码。实际这个值应该表示令牌到什么时候过期,具体影响解释要看客户应用逻辑,一种逻辑会根据这个字段判断是否快过期了,如果是就提前审请新令牌,另一种逻辑可能不关心这个字段,由授权服务器检验判断令牌是否过期。
2018-10-14老师,请教一下,jwt是无状态的,对于spring cloud这种分布式系统是否还需要分布式session?如果需要处理分布式session,能否给个文章链接参考一下?谢谢作者回复: 传统web应用有session概念,如有需要可以集中存memcached/redis等实现分布式session。微服务尽量无状态,一般不讲session,授权认证可用无状态jwt,也可用oauth2集中校验式令牌,令牌存memccached/redis缓存,由网关集中验,或每个资源服务集中验,这种方式有点类似分布式session。