我们应该将 JWT 存储为 cookie 吗?
Shall we store JWT as a cookie?
我正在考虑用 JWT 基于令牌的身份验证替换旧的 session-cookie-based 身份验证。我从 here 中了解到,建议将 JWT 存储为 cookie。
如果是这样,那不就是对signed cookie的重新实现吗?
是的,但优点是格式(即JSON)、一些信息元素(到期时间戳、issued-at时间戳、发行者等)和保护它的方法(即 signature/encryption 方法)已标准化,因此您可以使用库存库以非常方便且 error-free 的方式创建和阅读它。
我正在考虑用 JWT 基于令牌的身份验证替换旧的 session-cookie-based 身份验证。我从 here 中了解到,建议将 JWT 存储为 cookie。
如果是这样,那不就是对signed cookie的重新实现吗?
是的,但优点是格式(即JSON)、一些信息元素(到期时间戳、issued-at时间戳、发行者等)和保护它的方法(即 signature/encryption 方法)已标准化,因此您可以使用库存库以非常方便且 error-free 的方式创建和阅读它。