spring oauth2 token与session的问题

悬赏园豆：20 [待解决问题]

java web应用通过spring oauth2的密码模式取得token登录系统，后续的访问都带着token去请求后台数据，通过token即可验证身份。在此种情况下还需要用session保持会话，验证身份吗？感觉作用差不多呀，好像没必要使用session了。请教大家关于两者的区别，都在什么情况下使用呢

java session oauth2

lymyyang | 初学一级 | 园豆：124
提问于：2021-03-07 16:27

< >

所有回答(4)

这种情况下我觉得后端确实不需要在session存储回话了，只需要处理和解析前端保存的token就好了

编程小大白 | 园豆：530 (小虾三级) | 2021-03-08 08:52

需要session维持与资源服务器的token关联，不然你怎么知道你对应的是哪个token，如果是app的话，就不需要了，app可以在终端直接保存token

yytxdy | 园豆：1680 (小虾三级) | 2021-03-08 09:51

浏览器登录后会拿到token，再请求后台的话都会带上这个token，应该知道是谁请求的呀

支持(0) 反对(0) lymyyang | 园豆：124 (初学一级) | 2021-03-08 11:55

@lymyyang: 恩，是我理解错了

支持(0) 反对(0) yytxdy | 园豆：1680 (小虾三级) | 2021-03-08 19:41

token验证通过后将用户信息附加到请求头中，后端服务从请求头中获取用户信息，不需要session了

starst | 园豆：202 (菜鸟二级) | 2021-03-08 13:54

获取到的token是无状态的，后端通过解密就可以判断token过期或者合法还有一些其他信息。弊端是服务的无法主动将该token设置失效。而用session却可以保持会话状态，后端可以对该session增加一些属性或者其他功能性操作

dxyoung | 园豆：208 (菜鸟二级) | 2021-06-18 11:25

清除回答草稿

您需要登录以后才能回答，未注册用户请先注册。

欢迎，请先 登录 或者 注册 。

spring oauth2 token与session的问题

欢迎，请先登录或者注册。