Կախված է. Եթե դուք ունեք մի քանի սերվերներ, պահեք նշանը սերվերի վերագործարկման միջև, ապա ձեզ հարկավոր է ինչ-որ տեղ պահպանել այն: Տվյալների բազան սովորաբար հեշտ ընտրություն է: Եթե ունեք մեկ սերվեր և ձեզ չի հետաքրքրում, որ ձեր օգտատերերը պետք է նորից մուտք գործեն վերագործարկումից հետո, ապա կարող եք ուղղակի պահել այն հիշողության մեջ
Լավ գաղափար է JWT նշանը պահել տվյալների բազայում:
Դուք կարող եք պահել JWT-ը db-ով, բայց դուք կորցնում եք JWT-ի որոշ առավելություններ: JWT-ն ձեզ առավելություն է տալիս, որ անհրաժեշտություն չլինի ստուգել նշանը դբ-ով ամեն անգամ, քանի որ դուք կարող եք պարզապես օգտագործել կրիպտոգրաֆիա՝ ստուգելու, որ նշանը օրինական է: … Դուք դեռ կարող եք օգտագործել JWT OAuth2-ի հետ՝ առանց db-ում նշաններ պահելու, եթե ցանկանում եք:
պե՞տք է պահվեն խորհրդանիշները:
Այն պահելու կարիք չկա Դուք կարող եք վավերացնել այն և դրանից ստանալ անհրաժեշտ տվյալները: Եթե ձեր հավելվածին անհրաժեշտ է զանգել API-ներ օգտատիրոջ անունից, անհրաժեշտ են մուտքի նշաններ և (ըստ ցանկության) թարմացման նշաններ: … Եթե պահվող տվյալները մեծ են, ապա նստաշրջանի քուքի մեջ նշաններ պահելը կենսունակ տարբերակ չէ:
Որտե՞ղ պետք է պահեմ մուտքի նշանը:
Հետևաբար, մուտքի նշանը պետք է պահվի վեբ հավելվածի միայն սերվերում: Այն չպետք է ենթարկվի զննարկիչին, և դրա կարիքը չունի, քանի որ զննարկիչը երբեք ուղղակի հարցումներ չի անում ռեսուրսների սերվերին:
Պե՞տք է պահեմ DB թարմացման նշան:
Պահեք թարմացման նշանները անվտանգ վայրում, օրինակ՝ գաղտնաբառով պաշտպանված ֆայլային համակարգում կամ գաղտնագրված տվյալների բազայում: … Եթե կարծում եք, որ թարմացման նշան է մուտք գործել չարտոնված օգտվող, ջնջեք այն և ստեղծեք նորը:
