在Django rest框架中使用JWT时,刷新令牌和访问令牌存储在哪里?

问题描述

我正在尝试为我的Django rest应用程序使用 djangorestframework-simplejwt 实现JWT。我注意到刷新令牌和访问令牌未存储在数据库中。然后将它们存储在哪里?

谢谢。

解决方法

这就是JWT的重点,它们不需要服务器端存储。所有信息都被烘焙到令牌本身中,该令牌被签名所拥有,只有服务器拥有(如果您在没有安全漏洞的情况下正确地进行了处理,则应该拥有)秘密。服务器读取JWT中的信息,并确认该信息已使用机密签名,这只是它本身应该具有的内容。如果成功,它将信任JWT中包含的信息。因此,它不需要在任何数据库中查找任何内容。