1、jwt在服务端如何校验的?
之前一直用jwt但是仅仅了解他的基本原理没有去思考一个问题——服务端是如何校验jwt的?
了解过jwt原理的同学都知道jwt是可以自校验的,token里面有header,payload,我有个想法就是如果用户随便生成一个token,那后端是如何知道这个token不能用?或者我把开发环境的token拿到生产环境使用 是否可行?
jwt用户认证流程如下,因jwt的token是无状态的,所以每次请求都要经过过滤器进行校验,第一次登陆后把生成的token缓存到redis,当校验时如果找到对应token则继续,解析head中userid信息,根据userid查用户角色权限等信息,然后再设置到security的context中,具体代码如下
大约 3 分钟