无状态Token每次验证解密性能开销问题如何解决,Token验证的散列算法如何解密?
1 因为服务端没有保存用户是否登录信息,无状态Token每次访问都要验证吧,解密开销不是很大吗?
2 我看到说无状态token可以用散列算法,但是散列算法只是散列后的加密串,不可以解密恢复为原有串,那怎么做验证?服务端又没保存相关信息。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(2)
jwt虽然说可以设置有效期,比如我想让某个用户对应的token过期怎么办?难道是一定要等到有效期到吗?
一般token都是哈希算法也就是散列算法,不需要解密,只需要验签就行了,相当于做一次签名,这个开销应该说可以接受吧.
无状态的token是可以带有信息的,比如用户的id,这是明文保存的.
我们拿流行的jwt来举例子.https://jwt.io/
payload部分和前面的header部分是完全明文的,只是做了base64转码而已.服务端可以通过同样的签名算法来验证签名,保证数据没有被修改,然后直接使用playload的数据.