jwt签名内容包含了用户的密码，签名只可验证不能保密，会泄漏密码，只包含用户id就好了吧

Question

wangyongfeng5 opened this issue 3 years ago · comments

Enzo · Answer 1 · Mon Nov 15 2021 13:29:12 GMT+0800 (China Standard Time)

是的，看到将用户名和密码的信息摘要写了进去，后来我用的时候又改写的
其实只存储 uid 和 username 就可以了，完全没必要再将密码的哈希存储区进去

whzywxt · Answer 2 · Tue Feb 21 2023 19:07:57 GMT+0800 (China Standard Time)

我自己简单改了下，只存username，去掉password，有效期改为配置项了。