To zależy. Jeśli masz wiele serwerów lub zachowaj token między restartami serwera, musisz go gdzieś utrwalić. Baza danych jest zwykle łatwym wyborem. Jeśli masz pojedynczy serwer i nie obchodzi Cię, że Twoi użytkownicy muszą się ponownie logować po ponownym uruchomieniu, możesz po prostu zachować go w pamięci
Czy warto przechowywać token JWT w bazie danych?
Możesz przechowywać token JWT w bazie danych, ale tracisz niektóre zalety tokena JWT. JWT zapewnia tę zaletę, że nie trzeba za każdym razem sprawdzać tokenu w bazie danych, ponieważ wystarczy użyć kryptografii, aby sprawdzić, czy token jest legalny. … Nadal możesz używać JWT z OAuth2 bez przechowywania tokenów w bazie danych, jeśli chcesz.
Czy należy przechowywać tokeny?
Nie ma potrzeby zapisywania go Możesz go zweryfikować i pobrać z niego dane, których potrzebujesz. Jeśli aplikacja musi wywoływać interfejsy API w imieniu użytkownika, potrzebne są tokeny dostępu i (opcjonalnie) tokeny odświeżania. … Jeśli dane, które mają być przechowywane, są duże, przechowywanie tokenów w sesyjnym pliku cookie nie jest realną opcją.
Gdzie powinienem przechowywać token dostępu?
Dlatego token dostępu powinien być przechowywany tylko na serwerze aplikacji internetowych. Nie powinien być widoczny dla przeglądarki i nie musi, ponieważ przeglądarka nigdy nie wysyła żadnych bezpośrednich żądań do serwera zasobów.
Czy powinienem przechowywać token odświeżania bazy danych?
Przechowuj tokeny odświeżania w bezpiecznej lokalizacji, takiej jak system plików chroniony hasłem lub zaszyfrowana baza danych. … Jeśli uważasz, że do odświeżania tokena uzyskał dostęp nieautoryzowany użytkownik, usuń go i utwórz nowy.
