前同事把 jwt token 存在 sql 里，做法是不是有问题？

真的讨厌你们这种有啥问题不当面沟通解决，去网上发帖的

问下

如果使用 jwt 而不存储的话，当此用户权限更改后，如何确保之前的 jwt 失效？

公司一 Java 用自增 ID 做订单号你敢信

jwt 是为了让服务器没有状态，才采用的一种安全性较低，成本也较低的方案，如果一定要用服务器校验，那 jwt 就毫无意义，不如不用

@lemonEssence 用户 id 和订单 id 是自增的, 流水号是年月日时分秒+随机数

@yejinmo #22 把该用户的该 Token 加入到一个黑名单（例如 Redis ）里，过期时间就写 Token 的过期时间，验证 Token 是，需要先到这个黑名单里查一下

挺恶心的

@liyihang 说出有水平权限漏洞以后, 就不再理我了, 所以想上来求证一下是不是这样存 SQL 真的有好处呢

@yejinmo #22 或者你应该直接把用户的权限存到数据库中，Token 只负责校验登录。

JWT 用来做短时间的认证没问题，比如超时时间 5 秒认证一次就作废，防止泄漏……
JWT 做 session 本身就有问题，一旦泄漏没办法直接吊销……
要做吊销，只能存黑名单，但是既然都存黑名单了，又何必用 JWT 这么庞大的东西呢，一个密码安全随机数或是 UUID 就好啊，又短，还省去了 JWT 的合法性验证过程……

所以，JWT 真的不适合做 session，只适合做临时的令牌……

干他 + 1

@ksco #26

在不事先存储 Token 的情况下，服务端也不知道该用户有哪些 Token 啊

再比如如果不允许多地点登录，不存储 Token 也做不到吧

@yejinmo 所以 jwt token 有时效，比如两个小时，超时了去找账户服务重新核发（不是重新登陆），虽然会有两个小时延迟，但问题还是能解决的。一些核心服务可以在业务层建权限系统，而不是靠账户服务发权限。

@yejinmo #31

1. 如果不知道要屏蔽哪些 Token，只知道用户 ID，那你黑名单里面就存用户 ID 和一个时间戳。所有该用户 ID，且 Token 里的时间戳在此之前的，全部拒绝掉。

2. 不允许多地登录这个之前没遇到过。临时想了一下，或许你可以在 Token 里面记录一下对应的地区，如果 Token 的地区和用户的实际地区不一样，就拒绝掉。

哈哈哈， 这个问题就跟著名的空档滑行省油还是带档滑行省油问题一个样子， 新技术遇到了不思进取的老司机。用起来大致上是没有差了， 但是失去了 stateless 的意义， 把 Webserver 校验的压力转嫁给了数据库。

@abcbuzhiming jwt 的安全性并不是低， 签名能够防止篡改了，也就无法跨域脚本攻击了

@xuanbg 你对安全的理解有误， 直接存数据库然后对比 jwt 的 token 并没有安全上的问题， 因为你如果改了任何一个部分字符串就变了， 数据库判断就通不过了，如何篡改？这么做安全上没问题， 只是失去了 jwt 的意义而已

@ksco #33

所以我说的业务场景是不是压根就不适合用 jwt 这种东西。。

@jinliming2 jwt 丢 redis 里边当 session.. 超时清除清除就好 而且 jwt 本身可以设置超时时间.. 具体怎么用都是 filter 都能做到

楼主那位前同事应该只是复用了原来写好的鉴权部分的代码而已， 估计整个项目的代码框架都是直接用了之前的项目模板， 甚至直接老项目删删就直接拿来用了， 外包嘛， 最求成本效益最大化，谁管你代码质量， 安全性效率什么的

前端传 userId，笑死了

@yejinmo #35 哈哈确实是，有这些需求的话，JWT 确实就是脱裤子放屁了

@yejinmo

账户服务发 token，具体的业务服务根据 token 建 session 就行了啊。

如果你们就一台服务器，一个服务一把梭，当我没说过。当你有 40 台服务器，20 多个服务，还需要在不同的云不同区上有灾备的时候，你就知道 jwt 有多香了。