因此,我只是在使用OWIN的Web API应用中实现了基于令牌的认证,并且我能够理解它是如何工作的概念至少在表面上)。服务器如何知道承载令牌是否有效而不将其存储在磁盘或内存上
我无法理解的是服务器如何验证生成的承载令牌而不将其存储在磁盘或内存中。我的意思是确定过期日期可能是在令牌本身加密的,但只有在过期时才适用。那么服务器如何做到这一点?
更新:
好吧,我可以看到的是权利要求存放在token.So在一定程度上服务器仍在检查与数据库验证期间是否正确?否则,让我们假设我是服务器,我能够给令牌解密这个对象:
{
"iss": "thesite.com",
"exp": 1300819380,
"name": "Chris Sevilleja",
"admin": true
}
所以,现在的问题是确实的事实,我(服务器)能够令牌解密成关键值对(检查是否存在像'iss','exp'这样的特定键并检查像'admin'键这样的值必须为真)意味着我将授权Web请求?
谢谢@ Jean-Marc Prieur,我考虑你的答案更新了这个问题。 – james