Ich denke über die Migration eines PHP-basierten Benutzerportals zur JWT-Stateless-API nach und ich bin mir nicht sicher, ob ich dieses Recht verstehe.Benutzerdaten mit JWT
Was sollte das Zugriffstoken speichern? Die Benutzerdatenbank verfügt über einen Autoinkrement-Primärschlüssel für die Benutzer-ID, den Benutzernamen und die E-Mail-Adresse. Alle relationalen Tabellen in der DB werden durch die Benutzer-ID referenziert. Ich weiß nicht, ob es eine gute Übung ist, die Benutzer-ID im öffentlichen Token zu übergeben. Ich denke, vielleicht übergeben Sie die E-Mail-Adresse, aber das bedeutet, dass ich den Benutzer-Datensatz jede Seite laden musste, so dass ich auf die anderen Tabellen über die Benutzer-ID zugreifen kann.
Wie übertrage ich auch Benutzerdetails auf die nächste Seite? Früher würde ich diese Felder bei der Anmeldung in $ _SESSION speichern, aber das ist jetzt nicht möglich. Bedeutet das, dass ich den Benutzerdatensatz jedes Mal manuell ziehen muss?
Schließlich, wie mache ich Tokens beim Abmelden ungültig?
Danke!
Sie machen sie nicht ungültig, Sie entfernen sie einfach aus dem Browser. – zerkms
Einige verwandte lesen, die Sie vielleicht in Erwägung ziehen sollten: http://cryto.net/~joepie91/blog/2016/06/13/stop-using-jwt-for-sessions/, http://cryto.net/~joepie91/blog/2016/06/19/stop-using-jwt-for-sessions-teil-2-why-your-solution-doesnt-work /, https://paragonie.com/blog/2017/03/jwt- json-web-tokens-is-bad-standard-dass-jeder-sollte vermeiden –