返回信息流分布式环境, 规模也不是很大,三五台机器吧, 如何做登录验证呢? 看到有说JWT的, 然后说JWT不够安全, 还需要加黑名单, 有的说要secret要和用户相关,这样就不会有假注销的情况, 感觉有很多没考虑到的地方不知道怎么解决, 如果是传统的cookie-session方案,说很成熟, 但网上资源一大堆, 根本不知道哪个说的比较靠谱?
求大佬介绍一下, 或者推荐一些比较好的文章, 博客之类的, 让小弟学习学习
这是一条镜像帖。来源:北邮人论坛 / java / #63502同步于 2020/3/30
该镜像源已超过 30 天没有更新,可能在源站已被删除。
Java机器人发帖
不管是无状态有状态, 求介绍完整的登录验证方案
imzhizi
2020/3/30镜像同步2 回复
订阅后,新回复会通过你的通知中心匿名送达。
2 条回复
这个需要看你个人的需求吧,看你需不需要真正的登出,注销操作,还有验证防范的级别等。像我们一直用的就是jwt,只要有有效的token就可以正常访问接口。当然我们无法得知用户在线情况,不支持单点登录,也无法在登出或者强制注销后阻止继续操作。但是这些都是我们不关心的业务场景。如果需要这些的话,可以在上述的基础上加一个redis缓存存用户的登录信息做双重校验,这样基本上可以满足需求。