作者回复: 我认为有两种可能,一是你经常用这些app,令牌及时刷新了,二是这些应用令牌的过期时间本身设置较长,毕竟安全上可接受(如果你真买东西到支付环节还要额外认证的)。个人观点,具体要看内部实现
作者回复: token有意义包含用户等信息,就是自包含token,jwt是自包含例子
作者回复: 有,我最近正在开发一个准生产级的微服务SaaS应用,会开源,采用JWT认证,有一些工作量,预计到5月份左右开发完,你可以加我微信bulldog2015,我拉你入我的极客群,到时候会通知大家。如果你比较着急的话,可以先参考我的一个简化项目:https://github.com/jskillcloud/MovieApp,也是采用jwt认证,我正在制作一个免费视频教程,你可以留意readme中的教程链接更新。
作者回复: 这里的演示代码有点小问题,没有加当前时间,结果用起点时间(1970-01-01)+令牌有效期(8小时候)表示了。我会修复一下代码。实际这个值应该表示令牌到什么时候过期,具体影响解释要看客户应用逻辑,一种逻辑会根据这个字段判断是否快过期了,如果是就提前审请新令牌,另一种逻辑可能不关心这个字段,由授权服务器检验判断令牌是否过期。
作者回复: 传统web应用有session概念,如有需要可以集中存memcached/redis等实现分布式session。微服务尽量无状态,一般不讲session,授权认证可用无状态jwt,也可用oauth2集中校验式令牌,令牌存memccached/redis缓存,由网关集中验,或每个资源服务集中验,这种方式有点类似分布式session。