目前项目用的springsecurity,前后端分离,以下观点是我目前能想到的问题,还请友友们给出建议。
一.不使用jwt生成token,自定义随机数生成token,然后将token存在session和redis中,每次请求判断session和redis中的token一致性
1.axios每次请求都会生成不同的sessionid,如果要从session中获取token,又需携带cookie,容易造成csrf攻击
2.用户多了之后,服务器有压力
二.使用jwt生成token和refreshtoken,token过期后自动刷新
1.如果refreshtoken时间设置过长,可能会导致用户永远不用重新登录的情况
2.若半小时未操作,也不会重新登录
3.账号被挤下线,也不会及时给消息。难道要用websocket吗
如果使用token和refreshtoken,那么各自设置多长时间比较合适
回答:这里有一个文章介绍了时间:https://zhuanlan.zhihu.com/p/52300092
refresh token 设置为两周
jwt不仅仅是解决token的问题,解决了传统的(也就是你自己想的方案)session在分布式环境下的共享问题,还有用户基本信息也可以直接从token获取。
关于你说的问题永远不用登录的问题,你可以用redis去保存token,过期或者被挤下线你可以根据自己的逻辑去操作redis中的token,但是token filter逻辑也需要改一下。
账号被挤下线就算你用自己的方案,也还是不回有及时的通知啊?这个需要你借助其他方案去完成的啊