如果我正在创建一个具有 RESTful 后端的 Web 应用程序,鉴于我不想连接社交媒体(Facebook、Google+ 等),OAuth 2.0 真的有必要吗?我正在考虑放弃 OAuth2.0 并执行以下操作:
- 成功登录后生成 JWT token
- 将此 token 存储在redis(或数据库,尚未决定)中
- 拥有一个过滤器,用于检查 JWT token 并将该 token 与 redis/db 中的 token 进行匹配。
- 如果 token 存在,则允许用户访问资源
最佳答案
如果您愿意,您可以手动生成 JWT token ,但最好让 oAuth 2.0 实现处理 JWT 生成。
您不需要保留 token 。只需检查 JWT 的签名,无需检查数据库,因为 JWT 的重点是无状态身份验证。
关于java - 我是否需要为具有登录系统的 Web 应用程序实现 OAuth 服务器?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38938165/