c*********e
发帖数: 16335 | 1 据说jwt放在cookie里,用mobile native app来call restful web services的时候不方
便?
jwt都有哪些缺点? |
W***o
发帖数: 6519 | 2 JWT爲毛要放在COOKIE裏?放在緩存不好嗎?頂在request header ? |
n*******4
发帖数: 2285 | 3 如果是纯stateless的用法是不能revoke, 只能expire. 但你可以在claim 里加个
session id. server端存session id, 应该就可以revoke. 不过这就变成stateful的
了。
【在 c*********e 的大作中提到】
: 据说jwt放在cookie里,用mobile native app来call restful web services的时候不方
: 便?
: jwt都有哪些缺点?
|
c*********e
发帖数: 16335 | 4 jwt放在javascript的variable里? 那hacker不就很容易偷到了吗?
【在 W***o 的大作中提到】
: JWT爲毛要放在COOKIE裏?放在緩存不好嗎?頂在request header ?
|
c*********e
发帖数: 16335 | 5 https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-
storage/
文中比较了存在Cookies vs HTML5 Web Storage 。
最后作者推荐存在cookies.httponly. 但是, httponly是每个browser都支持的吗?
http://stackoverflow.com/questions/528405/which-browsers-do-sup
【在 W***o 的大作中提到】
: JWT爲毛要放在COOKIE裏?放在緩存不好嗎?頂在request header ?
|
m***i
发帖数: 2480 | 6 jwt现在都直接用 auth0的库,你不用管它存在哪里。auth0 browser的实现是放local
storage.
gitkit放cookie里
完全按spec的话jwt不能revoke。比较简单的hack是服务器方根据issue time revoke。
就是所有某时间之前的全资作废
【在 c*********e 的大作中提到】
: 据说jwt放在cookie里,用mobile native app来call restful web services的时候不方
: 便?
: jwt都有哪些缺点?
|
r**i
发帖数: 1222 | 7 是用jti,通过callback来blacklist jti
local
【在 m***i 的大作中提到】
: jwt现在都直接用 auth0的库,你不用管它存在哪里。auth0 browser的实现是放local
: storage.
: gitkit放cookie里
: 完全按spec的话jwt不能revoke。比较简单的hack是服务器方根据issue time revoke。
: 就是所有某时间之前的全资作废
|
k**n
发帖数: 3989 | 8 那是你没明白jwt的用法. 存在哪里并不是很重要,
jwt 的 关键在于它的signature保证payload数据不被修改.
【在 c*********e 的大作中提到】
: https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-
: storage/
: 文中比较了存在Cookies vs HTML5 Web Storage 。
: 最后作者推荐存在cookies.httponly. 但是, httponly是每个browser都支持的吗?
: http://stackoverflow.com/questions/528405/which-browsers-do-sup
|
