基于 Session 的验证过程大体是:服务器端有一个 Session 词典,当用户验证登录后,在词典中为该用户创建一个 Session 对象,在响应( response )中返回一个 Session id,当用户下次请求时,携带 Session id,服务器从 Session 词典中可以恢复出 Session 对象,以完成用户的验证,在用 Session id 从恢复出认证实体。
从 Session 验证过程可以看出一些局限性:
为了利用好 token 的验证机制,IEIT (互联网工程任务组),制定了基于 JSON 数据结构的网络认证方式 JWA(JSON Web Algorithms),还针对不同应用场景提出了具体协议,如 JWS、JWE、JWK 等,他们可以统称为 JWT,即 Javascript Web Token
-
服务器横向扩展很困难:因为 Session 只能存活在一个服务实例中,将用户请求引导到其他服务器,将丢掉用户的登录状态
-
携带信息量少,恢复会话信息比较耗时:Session 认证后,客户端得到 Session ID, 服务器无法从 Session ID 中得到更多信息,需要从数据库、文件系统或缓存中取得用户信息,比较耗时
-
没有统一标准:Session 由各个服务器框架自己实现,没有统一标准,存在应用扩展困难的问题,特别加密方式,五花八门,有很大的安全隐患
为了解决 Session 的问题,有了 token 的验证方式。
token 可以理解成票据,或者凭证,当用户得到服务器的认证后,由服务器颁发,在之后的请求时携带,免去频繁登录。
token 不同于 Session 的地方:
-
可以独立于具体的服务器框架生成和校验
-
可以携带更多的信息,避免对持久层的查询操作
-
基于标准的算法可以由不同的节点完成验证
JWA 的全称是 JSON Web Algorithms
JSON 是 Javascript 的语言的文本对象表示法,是一种独立语言环境的数据结构表示,可以用网络数据传输,在前面 RESTful 章节中,对 API 调用的返回数据格式就是 JSON。
Algorithms 本义是算法的意思,这里特指加密算法,也就是用 JSON 表示的数据,经过加密后在在服务器端和客户段之间传输。
有了数据结构和加密算法的基础,根据不同的应用场景,定义出了具体实现:
JWS(JSON Web Signature)对数据进行签名的,用于防止数据被篡改,传输不敏感数据的情况
JWE(JSON Web Encryption)对数据做了加密的,用于传输敏感数据,具有更好的安全性
JWT(JSON Web Token)上面 JWS、JWE 和 JWK 的总称。
-
-
JWK(JSON Web Key)是通过密钥对数据进行加密的方法,规定了相应的加密算法
-
JWT Wiki 上的定义是:
JSON Web Token is an Internet standard for creating JSON-based access tokens that assert some number of claims.
大致意思是,JWT 是用基于 JSON 数据结构的生成包含了一些权限声明的网络访问凭证的网络标准
-
扫一扫
869
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
