+1

体验真烂

@xiaoding Translate Tab

@ipconfiger 非开源项目一直同时用 Bitbucket 和 Gitlab ，换个靠谱的梯子速度就不是问题了

请给云计算一点宽容

不是胆汁，那个东西在肠胃反应后排泄物就会变成红色或绿色的

更新到 58

我觉得这两种并没有好坏之分。我两种都用，主要是看函数里的逻辑情况，捡逻辑最清晰、最易读的方式写

太多 bug 的原因无从知晓，没法知道为什么

神经病公司 +1

咋这个环境总是这些逗逼事

阿里云深圳同烂

@klesh 忘了

不用 JWT ， token 是这样的结构：签名后的字符串-用户 ID-指纹，共三段，每段中划线分隔.由于要谈到 token 吊销需要存储的问题，所以这里可以不需要存时间戳了。

当注册 /登录成功后：
1. 指定一个指纹，任意值都可以，只要这个值对这个用户没有使用过即可。
2. 将指纹和用户 ID 拼起来并签名，组成 签名后的字符串-用户 ID-指纹 这样结构的 token 。
3. 将用户 ID 与指纹对应起来放到缓存中，并且设置缓存过期时间，这个时间就是 token 有效期。
4. 将 token 返回给客户端。

当用户再次请求时：
1. 将 token 中的用户 ID 和指纹再签名（通过服务端私钥），比对提交的 token 签名后的字符串 就可将篡改或伪造的 token 过滤掉了（或许这一步有更好的实现方式）。
2. 过了上一步，仍然无法确定 token 是否已被吊销。获取缓存中的指纹与提交的 token 的指纹比对，若缓存中取不到指纹值(缓存已设置过有效期期)或缓存中的指纹与 token 的指纹值不相符，就说明这个 token 被吊销了。
3. 通过了上面两步，表示这个请求是已认证了的。

@klesh 比如修改密码后，需要吊销之前的 token ，所以用户 ID 和过期时间戳之外，再加一个值，这个值可存在缓存中，每次请求先对 token 验证，通过后再拿缓存中的值与 token 中的比较

都不需要存，对用户 ID 和过期时间戳签名即可得到 token 。
token 不应存私密的信息，所以不需要加密。而是要签名，防篡改。

用 Play Framework

@vilen1 就是这样

@aljun Feng...