首页 新闻 会员 周边 捐助

spring oauth2 token与session的问题

0
悬赏园豆:20 [待解决问题]

java web应用通过spring oauth2的密码模式取得token登录系统,后续的访问都带着token去请求后台数据,通过token即可验证身份。在此种情况下还需要用session保持会话,验证身份吗?感觉作用差不多呀,好像没必要使用session了。请教大家关于两者的区别,都在什么情况下使用呢

lymyyang的主页 lymyyang | 初学一级 | 园豆:124
提问于:2021-03-07 16:27
< >
分享
所有回答(4)
0

这种情况下我觉得后端确实不需要在session存储回话了,只需要处理和解析前端保存的token就好了

编程小大白 | 园豆:530 (小虾三级) | 2021-03-08 08:52
0

需要session维持与资源服务器的token关联,不然你怎么知道你对应的是哪个token,如果是app的话,就不需要了,app可以在终端直接保存token

yytxdy | 园豆:1680 (小虾三级) | 2021-03-08 09:51

浏览器登录后会拿到token,再请求后台的话都会带上这个token,应该知道是谁请求的呀

支持(0) 反对(0) lymyyang | 园豆:124 (初学一级) | 2021-03-08 11:55

@lymyyang: 恩,是我理解错了

支持(0) 反对(0) yytxdy | 园豆:1680 (小虾三级) | 2021-03-08 19:41
0

token验证通过后将用户信息附加到请求头中,后端服务从请求头中获取用户信息,不需要session了

starst | 园豆:202 (菜鸟二级) | 2021-03-08 13:54
0

获取到的token是无状态的,后端通过解密就可以判断token过期或者合法还有一些其他信息。弊端是服务的无法主动将该token设置失效。而用session却可以保持会话状态,后端可以对该session增加一些属性或者其他功能性操作

dxyoung | 园豆:208 (菜鸟二级) | 2021-06-18 11:25
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册