小编Isa*_*122的帖子

最近在学习JWT。
我计划在 Next.js 服务器上采用 JWT，并使用发出 JWT 访问令牌的外部身份验证服务器。

起初我在考虑以下逻辑（当影响数据时）

1. 用户使用 JWT 访问令牌发送请求
2. 某个外部服务器收到该请求
3. 将 JWT 访问令牌发送到颁发 JWT 令牌的身份验证服务器以进行验证
4. 某个外部服务器根据验证结果做出响应
5. 用户得到响应

但我认为这是非常低效的。

然后我看到一篇博客文章说：
“JWT 比其他基于令牌的身份验证解决方案更好，因为它不会向身份验证服务器发出进一步的验证请求，而是微服务本身验证令牌的有效性”

但是没有密钥就不可能验证 JWT 令牌吗？
如果是这样，在许多不同的微服务中存储 JWT 密钥是否安全？（我使用 dotenv 来存储密钥）