0

私の認証では、他のサーバのAPIが呼び出されていますが、私はデータベーステーブルを持っていません(私のサーバにはユーザ名とパスワードはありません)。おかげさまで 新しいREST APIにJWT(JSON Webトークン)認証を使用できますか?

+1

あなたが尋ねていることは非常に不明です。あなたはJWTのステートレスな面を参照していますか? –

+0

@Nicolai Schmidありがとう、私は私の質問を更新しました – wwwjun

+0

JWT認証を使用する前にJWT認証を知りませんでしたが、データベースなしで使用できるかどうかわかりません。 – wwwjun

答えて

0

独自の認証サーバーを実装しようとすると、ユーザー名とパスワードを持つデータベースが必要です。

しかし、ユーザーにはJWTトークンがあると、有効期限が過ぎておらず、認証サーバーとAPIサーバーの間で署名シークレットが共有されている限り、APIサーバーで認証されます。攻撃者が変更した可能性があるかどうかを確認します。

有効期限が過ぎると、クライアントは新しいトークンを発行する必要があります。通常は、より長い有効期限を持つ第2のrefreshTokenを使用し、DBに対して新しいaccessTokenを発行するかどうかチェックされます。

これは自分で実装することもできますが、OAuthはGoogle、Twitter、Githubなどのすべての主要ブランドで使用されているため、OAuth2などのテクノロジーを使用することを強くお勧めします。

関連する問題