前同事把 jwt token 存在 sql 里，做法是不是有问题？

@xuanbg 前端参数不可信 特别是敏感信息,什么当前登录用户用前端传递 不是找死吗 ?

@g8287694 到期过期这个操作还是要解码判断的,依靠前端过期不安全吧

前面几位认为 JWT 没用的，你们基本不知道 JWT 是什么。JWT 全称是 JSON Web Tokens，是 Token Token Token，只参与认证阶段，从来不参与授权。你们硬把它拿来当 Session，自然没用。

安全控制首先要分为认证和授权两个阶段，JWT 是一种很流行的认证手段，而用户权限更改后禁止原 JWT 登录（因为授权配置变更而提前吊销认证 Token ）、不允许多端登录（给后来者做授权同时取消先到者的授权，或者若已给先到者授权则禁止后来者的授权，等同于同一份认证同时最多只能被授权一次）是授权阶段的处理，JWT 原本就没打算涉及到这些。

你们甚至不知道 Session 是什么，Session 是会话，其主业是会话跟踪，安全控制只是顺便做了一下。Session 做安全控制时：sessionId （由生命周期为内存的 cookie，或者 URL 会写，作为存储介质）当 Token，Session 容器做认证，Session 附带的属性用来辅助授权。

JWT 和 Session 应该同时用，JWT 最多只能替代掉 sessionId。

@inwar 是的啊，LZ 这贴的勇士想法有点奇怪，多大的量还在乎这点 CPU 开销，后端的基本原则不就是不能信任前端的数据吗？如果传过的数据还和数据库对比一下，那么这不是压力往 DB 放了吗

@inwar 打错字了 同事

@abcbuzhiming #46
@g8287694 #51
@Allianzcortex #55
@inwar #59
吊销，或者说提前终止，这玩意要想生效只靠认证方是实现不了的，必须要吊销方与认证方同步数据才行。比如吊销营业执照，要是工商（吊销方）只宣布吊销而不收回营业执照，则没看到吊销声明的人（认证方）仍然会相信这个营业执照。又比如身份证丢失后的重办，如果银行系统没跟身份证系统联网，则旧证（已被吊销的 Token ）仍然会被银行当成有效的身份证。（所以银行一般不会把身份证当成唯一的认证依据。）

接上，JWT 只参与认证，所以“吊销”这种操作光靠它自身，是永远解决不了的。

@passerbytiny 把 JWT 拿来当 session id 用就已经是安全漏洞的范畴了。 @yamedie secret 写的简短一些，也是安全漏洞的一种，因为 HMAC 就是 MD5/SHA，所以一样可以弄个彩虹表来光速爆破。

JWT 都没理解是啥意思真水，订单列表还传 userId 也是骚操作
我们都想尽办法降低数据库的压力，能放服务器的绝不放数据库，这小老弟牛逼

数据库比对，jwt 的防重放功能是不是也废了？

@passerbytiny 比如我在发廊开了一张卡，发廊消了我的卡，我的卡就失效了。这算不算只靠认证方实现注销功能？

没准他以后会在简历里加一条“熟悉 JWT ”

@orqzsf1 jwt 如果是 server 是发廊的话，你开的只能是不记名的储值卡，它是销不了的。logout 最简单的就是你自己把卡剪了。也就是你卡丢了，只要里面还有钱，我拣上一样可以去大宝剑。

jwt 存 redis 啊，顺便做了超时验证

他验证 token 时候不用查询数据库么，这数据库压力也被增加了啊

@abcbuzhiming 可以主动失效的，手动将 token 加入黑名单就可以了

真·彩笔

sql 不是一种语言吗？楼主真菜

外包不应该实现就行，质保期内不出问题？？？
考虑太多了。随他怎么用呗

@AlvaIM 我没说篡改 token，是篡改接口参数里面的 ueseId。。。

token 是我的，但要的是你的数据。这就是楼主说的水平权限漏洞