jwt签名内容包含了用户的密码，签名只可验证不能保密，会泄漏密码，只包含用户id就好了吧

eddycjy / go-gin-example

An example of gin

MIT License

6.84k stars 1.59k forks source link

Open wangyongfeng5 opened 3 years ago

1-bytes commented 2 years ago

是的，看到将用户名和密码的信息摘要写了进去，后来我用的时候又改写的其实只存储 uid 和 username 就可以了，完全没必要再将密码的哈希存储区进去

whzywxt commented 1 year ago

我自己简单改了下，只存username，去掉password，有效期改为配置项了。