MaxClick

jjwt中，如何反向解码base64编码后的key呢？

官网中有这么一段： If you need to save this new SecretKey, you can Base64 (or Base64URL) encode it: "String secretString = Encoders.BASE64.encode(key.getEncoded());" 链接："https://github.com/jwtk/jjwt?tab=readme-ov-file#creating-safe-keys" (https://link.segmentfault.com/?enc=e8Izh6UeFr1B4XDKXBwCTw%3D%3D.RsgQQnMDVSE2S8uwL4x4qwWjn4XQWfIWVu6cEOoBet9PuJ1RwR4l5gAwFhR6DlLwYSazKvY7taeQQrajgXxZ7IOupYFIFQg3kHxlhXr6%2Fis%3D) 问题来了，如何反向解码呢？知道了String类型的secretkey，如果转变成SecretKey类型呢？ 大概过程我能想到，是"Decoders.BASE64.decode(secretString)"，但是后面想不到了，有谁知道吗？

三千米的偷感

token需要放在redis吗？

新人学习token鉴权有个疑惑,token本身有加密的用户信息,并保存在客户端.如果token只存在客户端,感觉并不够安全,且无法主动退出登录(无法主动过期). 听说一般token都存在redis里,那本质上就是在服务端也保存了token,可以通过token-userId的形式存储.如果是这样的话,token本身的意义是什么,token根据就不需要携带用户信息 似乎可以在客户端创建一个随机clientId,然后携带在header上,调用登录接口后, 后端以clientId-userId的形式将clientId存在redis里.这种方式似乎更简洁, 携带的数据量更少也更安全

一只tomatoo

扫码登录成功后, 如何维护浏览器登录状态?

"服务器A"中使用用户"session"判断用户，但是在扫码登录中, 浏览器通过"websocket服务器"获取是否扫码成功, 如果"app"端扫码成功, "服务器A"是通过什么方式告知浏览器登录成功, 并在后续请求中如何知道浏览器当前的角色？是"服务器A"传递一个"token"(是否需要新建一个"token"表)? 不过我感觉新建一个token不正确 因为维护用户session表和token表比较麻烦