Php 实现JWT的最佳方法?
我正在创建JWT身份验证,我有一些疑问:Php 实现JWT的最佳方法?,php,security,jwt,slim,Php,Security,Jwt,Slim,我正在创建JWT身份验证,我有一些疑问: 为了提高安全性,最好保存在数据库中 用户的令牌,并每次检查API是否发送了令牌 是否与保存到数据库中的匹配?它真的有用吗 为了避免在会话中保存用户信息,使用电子邮件, 如果他是JWT有效载荷中的管理员等 如果我将用户信息保存在JWT的负载中,并且用户更改了他的 电子邮件或其他信息,如何自动更新用户的 保存在浏览器中的令牌 最好将令牌保存为cookie或web存储 为了提高安全性,最好将其保存在数据库中 用户的令牌,并每次检查API发送的令牌是否匹配 把那
由你决定。如果存储在cookie中,则会随每个请求一起发送。如果希望使用JavaScript检索值,则使用web存储。如果使用cookie,请设置安全标志以防止它通过普通HTTP泄漏,并设置HttpOnly标志以保护它不受域上任何XSS漏洞的影响。Web存储不能以同样的方式针对XSS进行安全保护(您需要确保整个域都受到保护),但是通过普通HTTP泄漏的可能性较小。类似于@SilverlightFox的响应-请注意,您可能需要对刷新令牌进行数据库检查,但不需要访问令牌。通过这种方式,您可以调整持续时间,因为您希望在安全性和效率之间进行权衡类似于@SilverlightFox的响应-注意,您可能需要数据库检查刷新令牌,但不需要访问令牌。通过这种方式,您可以调整持续时间,因为您希望在安全性和效率之间进行权衡您是否阅读了
jwt.io
?如果是-你为什么要问这个问题?有一件事:“我正在创建JWT身份验证”,请告诉我你没有自己的。请用。@ScottArciszewski。我用的是Firebase JWT。昨天,我开始阅读并创建我的第一个jwtauthentication@u_mulder:不,我不知道那个网站。你确定JWT适合你吗?你读过jwt.io吗?如果是-你为什么要问这个问题?有一件事:“我正在创建JWT身份验证”,请告诉我你没有自己的。请用。@ScottArciszewski。我用的是Firebase JWT。昨天,我开始阅读并创建我的第一个jwtauthentication@u_mulder:不,我不知道那个网站。你确定JWT适合你吗?