แล้วแต่เลย หากคุณมีเซิร์ฟเวอร์หลายเครื่องที่จะเก็บโทเค็นไว้ระหว่างการรีสตาร์ทเซิร์ฟเวอร์ มากกว่าที่คุณต้องการเก็บไว้ที่ใดที่หนึ่ง ฐานข้อมูลมักจะเป็นทางเลือกที่ง่าย หากคุณมีเซิร์ฟเวอร์เดียวและไม่สนใจว่าผู้ใช้ของคุณต้องลงชื่อเข้าใช้อีกครั้งหลังจากรีสตาร์ทแล้ว คุณก็ทำได้ เพียงเก็บไว้ในหน่วยความจำ
ควรเก็บโทเค็น JWT ไว้ในฐานข้อมูลหรือไม่
คุณสามารถ store JWT ในฐานข้อมูล แต่คุณเสียผลประโยชน์บางอย่างของ JWT JWT ช่วยให้คุณไม่ต้องตรวจสอบโทเค็นในฐานข้อมูลทุกครั้ง เนื่องจากคุณสามารถใช้การเข้ารหัสเพื่อตรวจสอบว่าโทเค็นนั้นถูกต้องหรือไม่ … คุณยังสามารถใช้ JWT กับ OAuth2 ได้โดยไม่ต้องเก็บโทเค็นในฐานข้อมูล หากต้องการ
ควรเก็บโทเค็นหรือไม่
ไม่จำเป็นต้องจัดเก็บ คุณสามารถตรวจสอบและรับข้อมูลจากมันที่คุณต้องการ หากแอปของคุณต้องการเรียกใช้ API ในนามของผู้ใช้ จำเป็นต้องใช้โทเค็นเพื่อการเข้าถึงและ (ทางเลือก) รีเฟรชโทเค็น … หากข้อมูลที่จะจัดเก็บมีขนาดใหญ่ การจัดเก็บโทเค็นในคุกกี้ของเซสชันจะไม่เป็นตัวเลือกที่ใช้งานได้
ฉันควรเก็บโทเค็นการเข้าถึงไว้ที่ไหน
ดังนั้น โทเค็นการเข้าถึงควรเก็บไว้ใน เว็บแอปพลิเคชันเซิร์ฟเวอร์เท่านั้น ไม่ควรเปิดเผยต่อเบราว์เซอร์ และไม่จำเป็น เนื่องจากเบราว์เซอร์ไม่เคยส่งคำขอโดยตรงไปยังเซิร์ฟเวอร์ทรัพยากร
ฉันควรเก็บโทเค็นการรีเฟรช DB หรือไม่
เก็บโทเค็นการรีเฟรชใน ตำแหน่งที่ปลอดภัย เช่น ระบบไฟล์ที่มีการป้องกันด้วยรหัสผ่านหรือฐานข้อมูลที่เข้ารหัส … หากคุณเชื่อว่ามีการเข้าถึงโทเค็นการรีเฟรชโดยผู้ใช้ที่ไม่ได้รับอนุญาต ให้ลบออกแล้วสร้างใหม่