API网关的权限验证实践( 三 ) _API网关

文章插图

2、将token设置到Request Header后，访问资源服务

文章插图

3、当没有token访问资源服务时就会返回401

文章插图

总结

最后讲讲JWT的缺点，任何技术都不是完美的，所以我们得用辩证思维去看待任何一项技术。安全性没法保证，所以jwt里不能存储敏感数据。因为jwt的payload并没有加密，只是用Base64编码而已。无法中途废弃。因为一旦签发了一个jwt，在到期之前始终都是有效的，如果用户信息发生更新了，只能等旧的jwt过期后重新签发新的jwt 。
续签问题。当签发的jwt保存在客户端，客户端一直在操作页面，按道理应该一直为客户端续长有效时间，否则当jwt有效期到了就会导致用户需要重新登录。那么怎么为jwt续签呢？最简单粗暴就是每次签发新的jwt，但是由于过于暴力，会影响性能。如果要优雅一点，又要引入redis解决，但是这又把无状态的jwt硬生生变成了有状态的，违背了初衷。所以印证了那句话，没有最好的技术，只有适合的技术。感谢大家的阅读，希望看完之后能对你有所收获。
本文简单的讨论API权限认证，关于API的限流等，后续将持续分享其他内容。码字不易，欢迎关注、点赞、收藏。