Authentication 我可以对新的RESTAPI使用JWT(JSON Web令牌)身份验证吗?
我的身份验证调用另一台服务器的API,我没有数据库表(我的服务器上不存在用户名和密码)。在这种情况下如何使用JWT身份验证?Authentication 我可以对新的RESTAPI使用JWT(JSON Web令牌)身份验证吗?,authentication,token,jwt,restful-authentication,json-web-token,Authentication,Token,Jwt,Restful Authentication,Json Web Token,我的身份验证调用另一台服务器的API,我没有数据库表(我的服务器上不存在用户名和密码)。在这种情况下如何使用JWT身份验证? 谢谢。当您尝试实现自己的身份验证服务器时,您必须拥有一个包含用户名和密码的数据库 但是,在用户拥有JWT令牌后,它可以向API服务器进行身份验证,只要过期时间没有过去,并且签名秘密在auth和API服务器之间共享,因为您需要检查攻击者是否修改了它 过期时间过后,客户端需要发出新令牌。您通常会使用第二个refreshToken,它的过期时间更长,并且会根据DB进行检查,以发
谢谢。当您尝试实现自己的身份验证服务器时,您必须拥有一个包含用户名和密码的数据库 但是,在用户拥有JWT令牌后,它可以向API服务器进行身份验证,只要过期时间没有过去,并且签名秘密在auth和API服务器之间共享,因为您需要检查攻击者是否修改了它 过期时间过后,客户端需要发出新令牌。您通常会使用第二个refreshToken,它的过期时间更长,并且会根据DB进行检查,以发布新的accessToken
您可以自己实现,但我强烈建议您使用OAuth2等技术,因为OAuth在所有主要品牌(如Google、Twitter、Github等)中都有使用,并且经过了良好的漏洞测试 很不清楚你在问什么。你是指JWT的无状态方面吗?@Nicolai Schmid谢谢,我已经更新了我的问题我以前不知道JWT身份验证,我想使用JWT身份验证,但我不知道我是否可以在没有数据库的情况下使用它。