登录最佳实践是什么？

JWT 加个全局拦截器

千万别在没想清楚的时候用 JWT [手动狗头

不推荐 JWT ，更不推荐 Spring Security 。自己造个轮子简单实用。

@mgcnrx11 为啥呢

推荐 sa-token

@huxiaofan1223 jwt 只能应对它的初始设计场景，也就是令牌签发后有效期内一直有效。如果你有后续的需求，比如用户的令牌丢了，或者用户想要改密码，要让已签发的令牌失效，那么 jwt 就不能做到，需要在 jwt 基础上再加补丁。而补丁的实现，由于把存在性校验换成了不存在性校验，算法上确实可以做到一定的优化，但这种优化往往只有在特大数据量下才能表现出实际差距，考虑到开发成本，这未必值当。对于没想清楚需求的应用来说，直接保存 sessionid 是最直接也最方便的做法。

@LeeReamond 用 redis 和拦截器可以解决你说的这个吗？

@LeeReamond cookie 和 session 方便是方便，问题是对客户端不友好吧(我是前端，这是我的猜测)

交给第三方处理（大雾）
当初本着能外包则外包的原则，选了 auth0.com 做用户管理，结果要学的东西更多了

sa token 挺好的。登录的 token 别用 jwt ，不然 token 自动续签会很麻烦。

@vance123 哈哈，跟上云一样，以为不用自己维护机房了，结果要学的东西一点都不少

@huxiaofan1223 客户端问题也不大，正常的网络请求库都有 cookie jar ，自动管理 cookie 的

一个 ThreadLocal 存当前用户（和权限） + 一个拦截器存进去+删掉，完事
可以参考安全框架的设计，但是不建议用，因为麻烦。。。

一个服务：数据库里存密码，用 bcrypt 存储密码。
多个服务：用 sso ，可以用 oauth 或者 cas 。

登录验证的 filter 可以抄一下 java-cas-client 里的 AuthenticationFilter ，获取当前用户信息的操作可以抄 AssertionHolder

@LeeReamond

1. 用户令牌丢了？
回答：这个问题....


2. 用户改密码后，使已签发的令牌失效
回答：用户密码后，可以再生成新的 token ， 你可以选择返回前端， 让他更新请求令牌，或让用户重新登录（取决于你的需求设计）

@banlifeather4 #15 我猜改密码这个的意思是用户登录了两台设备，在其中一台设备上改密码了，无法把另外一台踢下线，否则就得查询用户状态了，这样还不如用 session 了

@huxiaofan1223 #8 因为好多不知道 cookiejar 的，所以各种传 cookie 和 session 对客户端不友好也真是。。

@sujin190

EMMM ， 我们有用到 WS ， 所以一些关键流程， 会推送消息到前端， 让前端处理一些流程；
就像我们使用大厂的 APP 一样， 会弹出来， 密码已修改，需要重新登录

1. 不登录
2. 用 Keycloak 之类的东西，总之保证请求到自己的服务的时候，鉴权啥的都已经完成了，不需要关心了

@banlifeather4 很正常的需求，不知道你想问什么，比如手机作为唯一身份认证终端的时代 ，丢手机当然不是 0 概率事件，其他认证方式同理，你这问题属于想的太多做得太少，做了就遇到这种需求了。