JWT与cookie和token的区别

最新推荐文章于 2024-03-27 16:56:34 发布
最新推荐文章于 2024-03-27 16:56:34 发布
阅读量8.8k 收藏 24
点赞数 3
分类专栏: Java 文章标签: JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Cjava_math/article/details/81563871
版权

一. cookie

A) cookie如何认证

  1. 用户输入用户名与密码,发送给服务器。

  2. 服务器验证用户名和密码,正确的就创建一个会话(session),同时会把这个会话的ID保存到客户端浏览器中,因为保存的地方是浏览器的cookie,所以这种认证方式叫做基于cookie的认证方式。

  3. 后续的请求中,浏览器会发送会话ID到服务器,服务器上如果能找到对应的ID的会话,那么服务器就会返回需要的数据给浏览器。

  4. 当用户退出登录,会话会同时在客户端和服务器端被销毁。

B) cookie认证方式的不足之处

  1. 服务器要为每个用户保留session信息,连接用户过多会造成服务器内存压力过大。

  2. 适合单一域名,不适合第三方请求。

二. token

A) token的认证过程

  1. 用户输入用户名和密码,发送给服务器。

  2. 服务器验证用户名和密码,正确的话就返回一个签名过的token(token 可以认为就是个长长的字符串),浏览器客户端拿到这个token。

  3. 后续每次请求中,浏览器会把token作为http header发送给服务器,服务器验证签名是否有效,如果有效那么认证就成功,可以返回客户端需要的数据。

  4. 一旦用户退出登录,只需要客户端销毁token即可,服务器端不需要任何操作。

B) token认证方式的特点

这种方式的特点就是客户端的token中自己保留有大量信息,服务器没有存储这些信息,而只负责验证,不必进行数据库查询,执行效率大大提高。

三. JWT

A) JWT介绍

  1. JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。

  2. 优点是在分布式系统中,很好地解决了单点登录问题,很容易解决了session共享的问题。jwt长度较小,且可以使用URL传输(URLsafe)。不想cookies只能在web环境起作用。 JWT可以同时使用在web环境和RESTfull的接口。
    缺点是无法作废已颁布的令牌/不易应对数据过期。

B) JWT组成

JWT包含三个部分: Header头部,Payload负载和Signature签名。由三部分生成token,三部分之间用“.”号做分割。
列如 : eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

  1. Header
    在Header中通常包含了两部分:type:代表token的类型,这里使用的是JWT类型。 alg:使用的Hash算法,例如HMAC SHA256或RSA.
    {
    “alg”: “HS256”,
    “typ”: “JWT”
    }
    这会被经过base64Url编码形成第一部分

  2. Payload
    token的第二个部分是荷载信息,它包含一些声明Claim(实体的描述,通常是一个User信息,还包括一些其他的元数据)
    声明分三类:
    1)Reserved Claims,这是一套预定义的声明,并不是必须的,这是一套易于使用、操作性强的声明。包括:iss(issuer)、exp(expiration
    time)、sub(subject)、aud(audience)等
    2)Plubic Claims,
    3)Private Claims,交换信息的双方自定义的声明
    {
    “sub”: “1234567890”,
    “name”: “John Doe”,
    “admin”: true
    }
    同样经过Base64Url编码后形成第二部分

  1. signature 使用header中指定的算法将编码后的header、编码后的payload、一个secret进行加密。
    例如使用的是HMAC SHA256算法,大致流程类似于: HMACSHA256( base64UrlEncode(header) + “.” + base64UrlEncode(payload), secret)
    这个signature字段被用来确认JWT信息的发送者是谁,并保证信息没有被修改
C) 为什么要使用JWT

相比XML格式,JSON更加简洁,编码之后更小,这使得JWT比SAML更加简洁,更加适合在HTML和HTTP环境中传递。
在安全性方面,SWT只能够使用HMAC算法和共享的对称秘钥进行签名,而JWT和SAML
token则可以使用X.509认证的公私秘钥对进行签名。与简单的JSON相比,XML和XML数字签名会引入复杂的安全漏洞。
因为JSON可以直接映射为对象,在大多数编程语言中都提供了JSON解析器,而XML则没有这么自然的文档-对象映射关系,这就使得使用JWT比SAML更方便
java json web token工具类

D) JWT的Maven引入
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>
微微一笑满城空
关注
  • 3
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
JWT和Session和Cookie
N_a_n的博客
04-13 613
文章目录会话管理cookieSessionsession和cookie的优缺点JWTJWT工作JWT的优缺点优点缺点为什么Token可以防止CSRFCSRF工作原理总结 会话管理 由于HTTP请求是无状态的,也就是说,每一个请求是相互独立的,互不干涉,但是在实际应用场景中,这个显然是不符合要求的。所以使用HTTP+状态管理进行一个面向用户Web开发。 这几个技术都是对HTTP协议的一个补充。 co...
Cookie/JWT区别和联系
weixin_43393670的博客
11-24 3274
Cookie/JWT区别和联系 1、cookie 1.1、什么是cookiecookie是保存在用户浏览器端,用户名和密码等明文信息 1.2、cookie特点 HTTP 是无状态的协议(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息):每个请求都是完全独立的。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。 HTTP Cookie(也叫 Web Cookie 或浏览器 C
jwttoken区别
最新发布
lied1663634806的博客
03-27 651
jwttoken区别
tokenjwt存在什么区别
小白学python-就业班课程笔记
12-14 8244
tokenjwt存在什么区别 结论: 最直观的:token需要查库验证token 是否有效,而JWT不用查库或者少查库,直接在服务端进行校验,并且不用查库。因为用户的信息及加密信息在第二部分payload和第三部分签证中已经生成,只要在服务端进行校验就行,并且校验也是JWT自己实现的。 TOKEN 概念: 令牌, 是访问资源的凭证。 Token的认证流程: 1. 用户输入用户名和密码,发送给服务...
浅谈session,cookiejwt(Json Web Token)认证方式
tour9566的博客
08-29 416
一基于cookie和session的会话管理机制 1.session和cookie会话机制的原理 session是存放在服务端的,而cookie是存储在客户端的用户登录成功的时候,生成session_id,以session_id为key,用户信息经过一系列的加密处理生成value,写入session,session信息可以写入文件,数据库、memcached,redis等等,推荐写入redis,提...
还分不清 Cookie、Session、TokenJWT
weixin_43167418的博客
08-20 173
来自:掘金(作者:秋天不落叶)原文链接(底部链接可直达):https://juejin.im/post/6844904034181070861什么是认证(Authentication)通...
php实现JWT(json web token)鉴权实例详解
01-03
基于token的身份验证可以替代传统的cookie+session身份验证方法。 JWT由三个部分组成:header.payload.signature 以下示例以JWT官网为例 header部分: { alg: HS256, typ: JWT } 对应base64UrlEncode编码为:...
Cookie、Session、TokenJWT.xmind
01-30
Cookie、Session、TokenJWT.xmind
JWT相关知识及Cookie, Session,TokenJWT区别总结.pdf
05-31
在终章笔记中主要介绍一下JWT以及总结CookieJWT区别与发展,包括JWT的定义,特点,重要属性,优缺点,作用和使用场景,CookieJWT场景,安全等的区别。 上章:主要介绍背景和Cookie 中章:主要介绍一下Session...
thinkphp框架使用JWTtoken的方法详解
01-03
一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各服务器、客户端传递信息签名验证。 二:JWT优点: 1:服务端不需要保存传统会话信息,没有...
再一次,Cookie、Session、TokenJWT.xmind
02-05
再一次,Cookie、Session、TokenJWT.xmind
关于session、cookietoken以及JWT
代码讲故事
03-24 529
关于session、cookietoken以及JWT。 session和cookie 现在一般都是session和cookie一起用,一起提。但是他们俩其实不是一定要在一起。 首先牢记一点,http协议是无状态的。就是说,一个请求过来,服务器不知道这个请求的用户是不是已经登录过了,不知道他的状态。只能再把这个请求重定向到登陆页面。 这样用户就疯了,怎么一直让我登录。 所以,前人想了一个办法,在第...
Cookie、Session、TokenJWT
一蓑烟雨任平生
08-24 317
目录 什么是认证(Authentication) 什么是授权(Authorization) 什么是凭证(Credentials) 什么是 Cookie Cookie 和 Session 的区别 什么是 Token(令牌) Acesss Token Refresh Token Token 和 Session 的区别 什么是 JWT 生成 JWT JWT 的原理 JWT 的使用方式 项目中使用 JWT TokenJWT区别 常见的前后端鉴权方式 常见的加密算法 .
【技术栈——00008】cookie, session, token, JWT-token详情及用法.
01-12 189
认证机制总结cookiesessiontokenJWT-tokenDjango中jwt-token和pyjwt原理 cookie 最基本的认证方式,但是不安全会. session session基于cookie的,存在cookie里, token token是把用户数据如字典,进行加密,然后存在前端浏览器storage中,每次请求都会携带(需要另外写代码,cookie是浏览器自动会携带),后端再进行解密,token主要扩展性很好. JWT-token Django中jwt-token和pyjwt原理 基
理解cookietokenJWT
小猴子的博客
07-23 766
文章目录理解cookietokenJWT) 理解cookietokenJWT
一文彻底搞懂cookie、session、tokenjwt
酷奇的博客
03-02 1111
角度一:是否有状态 Cookie、Storage、Session 是有状态的,都用于存储用户信息。 TokenJWT 是无状态的,用于户身份验证的,不存储用户信息,实际上Token还是有状态的,因为需要在服务器保存一些属性用于验证TokenJWT真正做到了无状态。 角度二:存储位置 Cookie、Storage是浏览器存储数据方案 Session是服务器存储数据方案 角度三:创建者 Cookie、Sessin、TokenJWT都是由服务器生成 角度四:传输方式 通过HTTP请求头或请求参数传输
JWT - just what?
weixin_34087301的博客
12-10 96
初见JWT,不知所云,赶紧Google(百度)一下,原来是跨域身份验证解决方案。 JWT只是缩写,全拼则是 JSON Web Tokens ,是目前流行的跨域认证解决方案,一种基于JSON的、用于在网络上声明某种主张的令牌(token)。 JWT 原理 jwt验证方式是将用户信息通过加密生成token,每次请求服务端只需要使用保存的密钥...
Fiddler抓包工具
cmjimmy的博客
11-27 387
Fiddler简介 b/s架构 (浏览器到服务器架构) http是 超文本协议. fiddler原理 Fiddler是位于客户端和服务器端的HTTP代理 因为ie 谷歌浏览器 他们默认就是读的系统代理. fiddler只要打开就会设置成代理. 通过ping域名可以得到主机ip地址. http http请求报文 请求方法 URL : 请求头 请求头是可以自定义的. http响应报文 状态码 响应头 ...
Cookie,Session,TokenJWT的基本使用以及区别介绍
qq_43293207的博客
12-26 1085
1. 前言 由于http协议的无状态性。每一次的http请求不会记住和保存任何会话信息,比如上一次的请求发送者和这一次的发送者是不是同一个人?每次请求都是全新和独立的。随着交互式Web应用的兴起, 像在线购物网站,需要登录的网站等,马上面临一个问题,就是要管理回话,记住那些人登录过系统,哪些人往自己的购物车中放商品,也就是说我必须把每个人区分开。 2. Cookie Cookie是浏览器实现的一种数据存储技术。一般由服务器生成,发送给浏览器(客户端也可进行cookie设置)进行存储,下一次请求同一网站时会把
cookie与session和token区别
04-18
Cookie 是在客户端保存用户信息的一种方式,...Cookie 和 Session 都是在服务器和客户端之间建立关联,而 Token 则是在客户端和服务器之间建立关联。Token 可以使用不同的验证机制,比如 JWT (JSON Web Token) 等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

微微一笑满城空

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值