我正在考虑用基于JWT
令牌的身份验证取代旧的session-cookie-based
身份验证。我从这里读到,建议将JWT作为cookie存储。
如果是这样,那不就是signed cookie
的重新实现吗?
是的,但优点是格式(即JSON)、一些信息元素(到期时间戳、在时间戳发布、发布者等)和保护方法(即签名/加密方法)都是标准化的,因此您可以使用库存库以非常方便且无错误的方式创建和读取它。