token验证问题
来源:3-3 创建JwtUtil工具类
qq_慕婉清7021187
2022-07-01
请问老师,这个方法他是如何做到检验token是正确的,一个token只对应一个用户,他是由密钥,userId以及偏移时间一起生成的。我看了一下代码,token是注册时生成并给到前端,这样用户登录时请求头就带着这个token了。这个验证方法都做了什么呢,他怎么判断这个token就应该属于这个用户,按我常规的想法,应该时token中解析出userId然后和用户的userId比较,但是这个方法没有传入用户的userId,所以这个方法底层他到底是怎么验证的?
写回答
1回答
-
神思者
2022-07-02
验证Token就是检测对令牌字符串反向计算能得出userId就可以,至于说userId是不是属于该用户的,不去判断。也就是说,如果别人拿着你的Token访问后端项目也一样可以。为了避免Token泄露,需要用HTTPS协议传输
012022-07-02
相似问题