注册是否加入 API 中看你业务逻辑了, 不关 REST 的事

GitHub 没有注册也不是为了符合什么规范, 只是不想有人能在别处注册 GitHub 帐号罢了

@gmywq0392 #94 jwt 的算法不是客户端决定的, 是另外一台服务器决定的, 因为 JWT 并不是客户端生成的, 他方便的是多台服务器间的沟通.

token 主要的失效问题是只能被动失效, 就是过期时间, JWT 中有这个规范. 现在想要的效果是主动失效, 按照我上面回答中的处理方法, 服务器还是要存储 context. 虽然比存储 session 要少得多, 但还是有些不太好.

@lml12377 #5 希望能对你有所帮助

> 在服务器组件之上不允许有会话状态(session state). 从客户发给服务器的每个请求中, 都必须包含理解请求所必需的全部信息, 不能利用任何保存在服务器上的上下文(context), 会话状态应全部保存在客户端

以上是 REST 论文中对于无状态这一约束的描述.

20 天前, 我以我对这段话的理解, 向 V 友们请教了《为什么 session 机制没有被 JWT 所取代?》. 因为在我看来 session 的机制毫无疑问的有利用在服务器上存储的上下文. 是不符合规范的. 而 JWT 的形式是全部保存在客户端, 而后服务器端每次验证, 是符合规范的.

token 的机制与 session 是没有区别的.

结论大概就是由于 JWT 不能存储过多的会话状态与一些需要安全保密存储的会话状态, 所以 JWT 并不能完全取代 session 机制, 只能是有些时候更加适用罢了

https://www.v2ex.com/t/381996

楼主观察的真细致, 看对比图有两版, 一版第一列第二行的柜子高一些, 一版低一些

好多吃鸡玩家, 来个群啊

看的书少了?还是看的书多了?

想看, 但是怕辣眼睛

给大佬递茶

好久看不到有写精通的了

之前有过手腕疼, 加上手腕垫也不好用.

后来把鼠标向前移, 胳膊肘也放在桌子上, 就好了

支持! 真的很美

@orFish #89

恩， 我是这么想的， 过期时间是 2017-09-01， 那么已知你的过期时间和总有效期， 因为毕竟是你签发的吗，你一定知道总有效期的。

假设总有效期是 7 天 ， 那么签发日期就是 2017-08-24，8 月份有 31 号， 我没算错吧。

用户在 2017-08-27 提出注销请求， 服务器记录 2017-08-27 的注销时间， 有效期为 jwt 的总有效期。

这时 2017-08-24 签发的请求过来后， 就能判断出他的请求失败了

@orFish #87 你知道你的 jwt 发布的过期时间是多少， 比如说 7 天， 那么过期时间 -7 天， 得出生成的时间戳， 或者 jwt 里也有存储发布时间的。 注销时间是 7 天内的， 那么很容易得出这个 jwt 过期了