Я не уверен, что полностью понимаю понятия о том, как должна работать надлежащая аутентификация JWT. Я нашел статью о JWT Authentication, где автор говорит, что:JWT Аутентификация и проверка пользователя
..the token is self-contained, so the client just need to resend to the server for each request, and the server just have to check the signature to ensure its validity. No more useless call to database or LDAP.
Я немного обеспокоен разговорник Нет более бесполезного вызова базы данных или LDAP
Но как проверить, например, что User
все еще существует в системе или User
не был запрещен, и этот токен был истек истек?
Похоже, мне определенно нужно позвонить в базу данных или LDAP, чтобы получить эту информацию и сравнить ее с информацией внутри токена JWT. не так ли?
спасибо! У меня есть еще один вопрос - является ли JWT разумным выбором в архитектуре, когда мне нужно проверить это на каждом звонке? – alexanoid
Если у вас уже есть инфраструктура для использования JWT, обязательно. Но вы не пользуетесь некоторыми преимуществами, которые это может вам дать. – MvdD