什么叫做“无状态”?服务端真的不需要保存 JWT 吗?

最新推荐文章于 2025-05-03 08:18:32 发布
最新推荐文章于 2025-05-03 08:18:32 发布
阅读量514 收藏 4
点赞数 12
分类专栏: 开发基础知识 文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2501_91858856/article/details/147621737
版权

在使用 JWT(JSON Web Token)进行身份认证时,我们经常听到“无状态认证”这个词,它的核心说法是:服务端无需保存会话信息(Session)。那么这句话是什么意思?服务端真的一点数据都不用存吗?服务端又是如何验证 JWT 的签名与有效期的?本文将为你一一解答。

一、什么是“无状态”?

“无状态(Stateless)”是相对于“有状态(Stateful)”而言的系统设计理念,指的是:

服务端不需要记录用户的登录状态或会话数据,用户每次请求都必须自带身份信息,服务端根据请求本身即可完成验证。

对比理解:

类型说明
有状态认证服务端生成 Session ID,并将其保存至服务端内存/数据库中,用户请求时带上该 ID 进行识别
无状态认证服务端不保存用户状态,用户每次请求都带上完整的身份凭证(如 JWT),服务端直接验证

二、服务端是否需要保存 JWT 数据?

标准的 JWT 无需在服务端保存任何会话信息!

这是它区别于传统 Session 的关键点。JWT 是自包含(self-contained)的,它将认证相关的信息(如用户 ID、权限、过期时间)和签名一起编码在 Token 内部。服务端只需验证该 Token 是否可信、是否有效即可完成认证,不必保存或查找任何会话记录。

三、那服务端如何验证 JWT 是否有效?

服务端通常通过以下两个步骤完成验证:

1. 验证签名是否正确

JWT 的第三部分是签名(Signature),它是基于前两部分(Header 和 Payload)以及服务端的私钥/密钥进行加密生成的。

  • 如果签名不对,说明 Token 被篡改。
  • 服务端使用相同的密钥进行计算,并与 Token 中提供的签名比对,如果一致,则可信。

👉 密钥必须保存在服务端(但这不算是“会话信息”)

🔐 示例:使用 HMAC SHA256 算法

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

2. 验证 Token 的有效期

JWT 中的 Payload 常包含如下字段:

  • iat:签发时间(Issued At)
  • exp:过期时间(Expiration Time)

服务端会解析 Payload,读取 exp 字段,并与当前时间对比。如果 Token 已过期,则拒绝访问。

这个验证过程只需要 Token 本身,不依赖任何服务端会话信息。

四、无状态认证的优点

  • 扩展性强:多个服务节点共享密钥即可,无需 Session 同步。
  • 性能更高:无需读写 Session 存储,节省资源。
  • 架构简单:更适合微服务和前后端分离架构。

五、无状态并不等于“完全不存数据”

虽然 JWT 本身不需要在服务端保存,但有些安全场景下服务端可能额外增加状态记录机制,比如:

✅ 黑名单机制

若用户被强制登出、账号异常、Token 泄露,需要让某些 Token 立即失效,此时可以把 Token 的 ID(如 jti 字段)加入黑名单数据库,服务端每次校验时查黑名单。

✅ 刷新机制(Refresh Token)

JWT 通常有效期短,如果需要自动续期,系统可采用“短期访问 Token + 长期刷新 Token”的双 Token 机制,并对 Refresh Token 保存在服务端进行控制。

“无状态,服务端无需保存会话信息”是 JWT 的一大特性,意味着服务端在认证过程中无需保存用户的登录状态或 Session 数据。服务端只需依靠密钥、解析 Token 内容、验证签名与有效期即可完成认证过程。

但为了应对复杂业务和安全要求,服务端在某些情况下仍可以引入辅助状态机制,如黑名单、白名单或刷新机制,从而在保持无状态优势的基础上实现更高的安全性与灵活性。

cookie、session和Token的区别?JWT又是什么?单点登录又是什么?头大?快进来看看,一文帮你捋清楚~
LYJbao的博客
11-06 876
JWT是JSON WEB TOKEN的缩写,它是基于RFC7519标准定义的一种可以安全传输读的JSON对象,由于使用了数字签名,所以是可信任和安全全的。之所以使用JWT,是因为Token是属于无状态的,每个人定制的规则同,生成的的结果就会同。所以目前,多数都是采用JWT为统一令牌标准~业务线越来越多,就会有更多业务系统分散到同域名下,就需要「一次登录,全线通用」的能力,叫做「单点登录」。
JWT状态保持
weixin_49596018的博客
01-17 586
状态保持 状态保持的概念 session JWT 状态保持的概念 所谓状态保持,就是指保存用户的登陆状态。用户在一定时间内,如果再次打开网站,那么就需要再次登陆。因为登陆的状态已经在上一次登陆中被保存下来了,但是,这个状态的保存是永久的,一般会有一个时间。 最早的时候,要实现状态的保持,最常见的就是: cookie:所谓 cookie,是将用户的信息保存在客户端,下一次用户再访问网站的时候,会自动携带 cookie 到服务器端。 session:将用户的数据存储在服务器端,客户端返回一个 sess
无状态认证 JWT+RSA鉴权
weixin_45262834的博客
03-17 1115
JWT+RSA鉴权使用场景一, 有状态认证及无状态认证的区别有状态认证:无状态认证:二、JWT什么是jwtJWT格式的三部分数据:三、RSA加密算法(1)JWT+HS256算法:jwt + RSA非对称加密登录和鉴权流程:总结: 使用场景 当我们将网站部署在多台服务器时 ,使用传统的登录认证(有状态认证),当我们在A服务器 记录登录信息,但访问另一台服务器时,反而需要重新授权,引出了cookie的共享的问题。 一, 有状态认证及无状态认证的区别 有状态认证: 有状态认证,服务端需要记录每次会话的客户端
有状态/无状态认证
weixin_50369190的博客
01-29 538
什么是无状态、有状态认证、无状态认证流程。
用户认证中的有状态和无状态
huaqianzkh的专栏
09-06 1015
在实际的系统设计中,需要充分理解需求,合理的使用技术,同的技术方案适用同的场景,技术存在即合理。1、目前大部分的互联网的产品中使用 JWT 的认证方式居多。2、在一些企业内部的管理系统中采用 cookie - session 的居多。
无状态身份验证和有状态身份验证
weixin_34112900的博客
08-03 329
有状态的:比如session,cookie,spring项目都用spring session实现redis存储session,或者用nginx + redis+tomcat实现负载均衡,使用ip_hash策略,能将来自同一IP的客户端请求派发给同一个服务实例,在分布式环境中,可以解决session共享的问题。要使用轮询策略。 无状态的:比如JWT(JSON Web Token),是可在网络上传...
科普文:微服务之微服务改造【无状态token】JWT-token
为无为,事无事,味无味。
08-05 1058
前后端分离架构带来的好处一搜一大堆,我们来看一下分离后后端接口的安全问题。前端:vue项目,Nginx部署后端:node.js和java项目这样的情况后端api是暴露在外网中,因为常规的web项目无论如何前端都是要通过公网访问到后台api的,带来的隐患也有很多。1.接口公开,谁都可以访问2.数据请求的参数在传输过程被篡改3.接口被重复调用...
JWT有状态登陆与无状态登陆
程序员小明1024
11-23 2267
单点登录与JWT JWT全称:Json Web Token 。作用:JWT 的作用是用户授权(Authorization),而是用户的身份认证(Authentication)。用户认证指的是使用用户名、密码来验证当前用户的身份,即用户登录。用户授权指用户登录成功后,当前用户有足够的权限访问特定的资源。 传统的Session登录: 用户登录后,服务器会保存登录的Sess...
什么是Http协议无状态?怎么解决Http无状态
热门推荐
songxiao1124的博客
09-05 1万+
一、Http 协议无状态的含义 1.1有状态协议 常见的许多七层协议实际上是有状态的,例如SMTP协议,它的第一条消息必须是HELO,用来握手,在HELO发送之前其他任何命令都是能发送的;接下来一般要进行AUTH阶段,用来验证用户名和密码;接下来可以发送邮件数据;最后,通过QUT命令退出。可以看到,在整个传输层上,通信的双方是必须要时刻记住当前连接的状态的,因为同的状态下能接受的命令是同的;另外,之前的命令传输的某些数据也必须要记住,可能会对后面的命令产生影响。这种就叫做有状态的协议。 1.2 htt
如何用JWT实现无状态登录和鉴权
Java笔记虾
02-19 3232
点击上方“后端技术精选”,选择“置顶公众号”技术文章第一时间送达!作者:赐我白日梦cnblogs.com/ZhuChangwu/p/11345098.html无状态登录原理先提一下啥是有...
JWT有状态登陆与无状态登陆的区别
CSDN_KONGlX的博客
11-16 375
单点登录与 JWT 1 JWT 全称: Json Web Token 。作用: JWT 的作用是 用户授权(Authorization) ,而是用户的身份认证(Authentication) 。用户认证 指的是使用用户名、密码来验证当前用户的身份,即用户登录。用户授权 指用户登录成功后,当前用户有足够的权限访问特定的资源。 传统的 Session 登录: 用户登录后,服务器会保存登录的...
无状态认证神器:JWT
weixin_44295717的博客
08-28 824
说起身份认证,可能大家的第一反应就是Session认证,其通过在服务端保存一份用户登录信息,并返回一个SessionId保存在Cookie中,这样在下次请求时就可以通过SessionId来识别用户。 我们通常会采用Spring-Session-Data-Redis组件来实现,正常使用情况下会有任何问题,但是如果服务达到每秒万级别的调用量时,如何解决应用系统与Redis的远程调用开销导致的响应能力下降?如果Redis发生异常中断服务时,如何来保证认证服务?这些都值得我们去思考,是是可以去中心化呢,是
用户登录 JWT原理剖析 JWT与单点登录实例解释
看花容易绣花难
05-01 3289
首先从用户的登录原理和实现讲起,然后引申出JWT的登录方式,在详细的讲解了JWT的原理之后我们会通过案例讲解JWT是如何保存用户信息。
关于学习Token、JWT、Cookie等验证授权方式的总结
qq_63218110的博客
06-13 1616
本文主要介绍Cookie、JWT、ThreadLocal等知识点。
机器人“跨协议对话”秘籍:EtherNet IP转PROFINET网关应用实录
bjbxkj的博客
04-29 676
由于两种协议在通信标准和数据格式上存在差异,导致机器人手臂无法与现场的终端控制器直接通信,设备之间的数据交换无法顺利进行,严重影响了生产线的整体效率。通过该网关的及时引入,我们避免了大规模设备改造带来的高昂成本和生产延误风险,显著提高了设备协作效率和生产线整体性能,获得了生产部门的一致认可。针对这一问题,我们工程师团队经过详细分析和现场测试,决定采用EtherNet/IP转PROFINET通信协议网关(倍讯BX-606-EIP)来实现快速、稳定的协议转换。接受控制器主动发送的指令及数据请求。
Nginx核心功能——nginx代理
2401_88768957的博客
05-01 1234
主要作用是将客户端的请求转发给目标服务器,并将响应返回给客户端Nginx 的 正向代理 充当客户端的“中间人”,它赋予开发者精准控制URL的能力,让请求的流转再受限于物理路径,而是通过逻辑规则灵活适配业务需求。Nginx的七层(应用层)反向代理基于HTTP/HTTPS 协议。Nginx的四层(网络层)反向代理基于 TCP/UDP 协议,改成break标记,使用浏览器请求,
网络原理初识
2401_83526138的博客
04-29 611
物理层规定了网络通信中一些硬件设施(网线,光纤,WIFI)的要求。
指定的网络再可用0x00000040原因分析及解决方法
电脑技术分享网的博客
04-30 712
如:用户是属于修复别人共享给我的打印机(客户端)或前面两种都是的两个选项场景,勾选修复了【共享主机】更新补丁选项,则可能会出现打印机报错的情况。出现此类问题时,可再次点击重新扫描,找到其中的【共享主机】更新补丁进行还原,即可解决大部分别人共享给我的打印机常见错误修复。2、物理连接问题:如果使用的是网络打印机,确保打印机与网络的连接没有问题,比如网线连接正常,打印机的网络设置正确等。可快速扫描当前连接打印机需要的驱动,在扫描出的打印机驱动中可选择相关打印机驱动版本进行修复安装。
wireshark抓包也能被篡改?
最新发布
ailx10
05-03 390
本身并能修改数据包,但是tcprewrite 可以修改数据包,然后通过tcpreplay 进行重放,这个时候wireshark抓的包,就是被篡改后的了。ailx10网络安全优秀回答者互联网行业 安全攻防员去咨询步骤一:安装 libpcap-dev步骤二:下载源代码,并编译安装步骤三:准备pcap包,以访问知乎的pcap包为例,记住篡改前的信息步骤四:跟着ailx10,开干修改pcap包的源IP地址,从192.168.0.108改成1.1.1.1。
JWT是什么?如何生成和验证JWT
05-29
JWT(JSON Web Token)是一种用于身份验证的开放标准,它可以在网络应用间传递声明,以便于安全地传输用户数据。JWT通常用于在身份验证和授权过程中,作为API的令牌。它是由三部分组成的字符串,分别是:头部(Header)、载荷(Payload)和签名(Signature)。其中头部和载荷都是使用Base64Url编码的JSON字符串,而签名则是由头部、载荷和一个密钥组成的哈希值。 JWT的生成和验证过程如下: 生成JWT: 1. 创建一个包含用户信息的JSON对象,并将其编码为Base64Url格式的字符串,作为载荷部分。 2. 创建一个包含算法信息的JSON对象,并将其编码为Base64Url格式的字符串,作为头部部分。 3. 将头部和载荷以点号连接起来,形成未签名的JWT字符串。 4. 使用密钥对未签名的JWT字符串进行签名,生成签名部分。 5. 将签名与未签名的JWT字符串以点号连接起来,形成最终的JWT字符串。 验证JWT: 1. 从JWT字符串中分离出头部、载荷和签名三个部分。 2. 使用头部中指定的算法和密钥对未签名的头部和载荷进行签名,生成一个新的签名值。 3. 将新生成的签名值与原有的签名值进行比较,如果相同,则说明JWT验证通过,否则验证失败。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值