2
我正在學習Angular,並通過檢查令牌是否過期瞭解了很多用戶授權的示例。例如,如果用戶有一個令牌並且沒有過期,讓他訪問受保護的根。我不明白,這是一個簡單的例子,還是通常的做法。從技術上講,如果我的令牌沒有過期但是簽名無效,我仍然會通過授權的初始階段並且「接近」受保護的資源。我誤解了什麼嗎?正在檢查JWT到期時間是否足以授權用戶?
然後,如果我也在後端使用Django REST JWT,它允許在服務器端使用verify token。這意味着請求應在每個操作中發送到服務器。這不是授權的正確方式,還是有另一個目的?
一般來說,授權用戶或用戶操作的正確方法是什麼?