如何在Node.js/Express中生成、存储和使用访问令牌?
如何在Node.js/Express中生成、存储和使用访问令牌?
提问于 2019-01-31 04:54:59
我刚开始使用Nodejs/Express进行后端开发,我正在创建一个API,在该API中,注册用户可以使用唯一的访问令牌向其发出请求。
我已经在使用JWT (JSON令牌)进行用户身份验证,在阅读了大量关于JWT的教程之后,我没有找到任何解释是否可以使用JWT作为访问令牌(而不是身份验证令牌),或者是否有另一种解决方案来生成这种令牌。
因此,基本上,我有一些关于如何生成和使用访问令牌的问题:
- 我可以使用JWT作为访问令牌吗?安全吗?还有更常用的解决方案吗?
- 我应该如何存储访问令牌?我是否可以将用户模型保存在数据库中,以便当我收到请求时,只需比较它们是否相等?
- 当提出请求时,我应该使用来传递我的令牌,还是最好在URL中传递它(类似于Google:KEY&callback=initMap)?
回答 1
Stack Overflow用户
发布于 2019-01-31 06:33:36
因此,这是一个相当广泛的问题,因为它真的取决于你的应用程序和你想要的安全。
如果您已经将JWT令牌用于登录用户并确保它们经过身份验证,那就太好了。
现在有许多方法可以确保以安全方式对用户进行身份验证。
您可以在JWT中设置一个过期的密钥,因此它将被限制为1小时、2小时或每周任何时间。
如果希望用户只登录一次,则需要深入了解如何管理令牌。
至于用户应该将JWT令牌传递到头部还是GET params中。所以从安全性的角度看,两者都是可访问的。但是当您将jwt放在url中时,url长度是有限制的(我想是1024个字符)。
对于您对访问令牌的具体问题,不确定您打算对它们做什么。
但是,如果只是为了提供其他服务来在api上执行操作,那么最好在本地存储这些access_tokens,以防您想要使密钥无效,您可以轻松地这样做。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/54453537
复制相关文章
相似问题
腾讯云开发者
