我可以对我们的新 REST API 使用 JWT(JSON Web 令牌)身份验证吗?

Can I Use JWT(JSON Web Token) authentication to our new REST API?

我的身份验证调用了另一个服务器的API,我没有数据库table(用户名和密码在我的服务器上不存在)。如何使用JWT身份验证在这种情况下? 谢谢

当您尝试实现自己的身份验证服务器时,您必须拥有一个包含用户名和密码的数据库。

但是在用户拥有它的 JWT Token 之后,它可以用它向你的 API 服务器验证自己,只要过期时间没有过去并且签名秘密在你的验证和 API 服务器,因为您需要检查是否有攻击者修改了它。

到期时间过后,您的客户端需要发布一个新令牌。您通常会使用第二个 refreshToken,它具有更长的到期时间,并根据数据库进行检查以发出新的 accessToken。

您可以自己实施,但我强烈建议您使用 OAuth2 等技术,因为 OAuth 已在 Google、Twitter、Github 等所有主要品牌中使用,并且经过了很好的测试漏洞。