一、JWT基于token的认证流程:
二、JWT SDK的选取:
https://jwt.io/
三、编写JWT Helper:
1、获取token
设置密钥,规定算法,设置过期时间,设置发行方,生命参数calims(比如name,email可以唯一选定用户)
2、校验token
3.使用reids管理用户登陆状态,强制销毁JWT:
jwt的缺点之一就是无法对未过期的令牌做销毁,需要使用redis,设置该用户的过期时间,jwt过期时间>redis过期时间,并以jwt过期时间为基准。
在getToken时,设置redis key,在用jwt换取用户信息时,先校验jwt,然后校验redis过期时间,要么更新redis的过期时间,并颁发新的token,要么抛登陆异常。