在分布式项目中,面对用户登录认证,使用JWT代替Session的原因

最新推荐文章于 2024-06-28 22:20:56 发布
最新推荐文章于 2024-06-28 22:20:56 发布
阅读量980 收藏 4
点赞数 1
文章标签: http java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HellHellNo/article/details/119381224
版权

1、服务器压力变大

使用Session进行用户认证,每增加1个用户进行登录认证,服务器就需分配内存存放Session,随着认证用户的增多,服务端的开销会明显增大

2、扩展性变差

用户登录认证记录保存在服务器内存中,则该用户下次发送登录请求时,必须在该台服务器上才可获得授权资源;假设在分布式系统中,多数初始用户认证请求被分配到服务器A、一部分到B、少部分到C,明显各服务器的请求数量不均等,限制了负载均衡器的能力,也就意味着限制扩展的能力

3、安全性变低

由于用户识别是基于Cookie进行的,若Cookie被截获,用户会很容易受到跨站请求伪造(CSRF)攻击

4、效率变低(以前后端分离为例)

(1) 若用户并非第1次登录,则用户通过前端发送请求给后端时,请求中需携带有SessionID的Cookie
(2) 若前后端之间有代理层,则还需将SessionID携带到代理层,再携带给后端
(3) 若后端还是分布式系统,则Session还需实现共享,才能使用户登录成功
(4) Session中存储的用户信息太少,需要时还得自查数据库;Token的Payload中携带用户信息,需要时取出来即可,提高效率

HellHellNo
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
登录认证: 为什么要使用JWT去替代cookie和session技术
pingzhuyan的博客
06-29 1495
另外,Cookie的过期时间通常是长期的,这意味着用户的信息可能会一直被存储在本地,从而被滥用。扩展性问题:Cookie和Session是基于HTTP协议的,而随着Web技术的发展,HTTP协议已经无法满足一些需要实现的业务需求,如WebSockets等。跨域问题:如果用户在多个域名下使用同一个网站,Cookie在不同域名之间传递会遇到阻碍,导致用户在使用该网站时出现问题。三部分 JWT通常由三部分构成,分别为Header(头部),Payload(负载),Signature(签名)
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
主要介绍了Springboot+SpringSecurity+JWT实现用户登录和权限认证示例,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
分布式系统使用分布式session和token的区别
q1787419288的博客
01-27 2394
一、分布式session 因为是分布式的系统,传统的单机session不适用于分布式系统,可以使用分布式session。 本质是使用第三方的数据库(建议是非关系型数据库)来存储session信息,例如Redis、Mongo DB,可以使用spring 提供的spring session组件 用户登录请求发送到服务器后,服务器进行校验,如果通过,服务器会使用session把用户的信息临时保存在了服务器上,客户端同时也会存将session信息存储在cookie上,离开网站后session会被销毁。 Sessi
不要把 JWT 用作 session
01-02 672
现在很多人使用 JWT 用作 session 管理,这是个糟糕的做法,下面阐述原因,有不同意见的同学欢迎讨论。 首先说明一下,JWT 有两种: 无状态的 JWT,token 包含 session 数据。 有状态的 JWT,token 仅有 session ID,session 数据还是存储在服务端。 本文讨论的是 “无状态的 JWT”,就是把用户的 session 数据放到 to...
为什么选择 token 的方式而不用 session
Aurora.Q 的博客
12-23 3747
首先我们看一下基于 session 的登陆会遇到什么问题。 我们可能有多个后端 比如现在的 XX项目,有多个后端:3 个 django 后端,1 个 java 后端。 只有一个前端,后端都是在同一个域名下,所以前端发送给后端的 sessionid 其实都是一样的,那么为了实现共享登陆的状态,必须实现多服务器共享 session.那么如何实现多服务器共享 session? 解决 session 的共享的方案通常是把这个 sessionid 存储在 cache(对外暴露的是键值对的形式),比如第三方存
JWT学习(二):JWT分布式SSO的应用实例
This Is Why We Coding
11-08 2750
上一篇文章讲解了JWT的基本简介,这一篇文章我就来实战一下。介绍一下在分布式单点登录使用方法: 首先来看一下Token实体类, public class Token implements Serializable{ private static final long serialVersionUID = -5391652691006115018L; /** 认证头 **/
为什么要使用JWT?实战项目怎么应用?
weixin_43504955的博客
11-12 759
Java八股文...技术装逼指数:4颗星
servlet的 session什么时候用_为什么说不建议用JWT作为Session系统
weixin_39914243的博客
01-20 212
为什么说不建议用JWT作为Session系统?什么是JWTJWT,全名JSON Web Token是一个开放标准,它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。重要问题:安全性作为安全级别要求很高的Session认证JWT token的无需持久化,随取随用的特性,或是有人说的优势,其实也是很严重的列劣势:安全问题。通过...
pythonJWT用户认证的实现
09-16
主要介绍了pythonJWT用户认证的实现,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
在Angular使用JWT认证方法示例
12-09
session认证,服务端会存储一份用户登录信息,这份登录信息会在响应时传递给浏览器并保存为Cookie,在下次请求时,会带上这份登录信息,这样就能识别请求来自哪个用户。 在基于session认证,每个用户都要...
NodejsJWTSession使用
01-20
最近的项目需要在node服务端做一个用户登录的校验以及权限拦截,专业一点叫用户认证与授权,经过一番收集资料,目前常用的有两种——JWTSession 使用JWT JWT是JsonWebTokens的简写形式,具体是啥我就不详细写了,...
django使用JWT保存用户登录信息
09-17
主要介绍了Django使用jwt获取用户信息的实现方法,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
分布式部署下,Session使用变少的原因
weixin_47136391的博客
03-18 1248
对于浏览起来说,各个服务器在他面前是透明的 1.首先,浏览器发出请求,服务器访问nginx时,他会做负载均衡,选择哪个服务器主要看策略。(假设选择服务器1,服务器1为了业务连续,就会创建session,返回sessionID给浏览器存起来) 2.浏览器第二次发送请求的时候,就会发送一个请求给nginx,就会携带sessinonID,但这个时候nginx因为负载均衡,服务器1比较忙时,服务器3空闲,那他就会发送给服务器3去处理这个请求。 此时问题就出现了,服务器3没有session,那他就只能.
JavaWeb】关于JWT认证授权的十万个理由(JSON Web Token)
墩墩分墩
11-04 653
JWTSession的差异相同点是,他们都是存储`用户信息`。然而`Session是在服务器端`的,而`JWT是在客户端`的 JWT方式将用户状态分散到了`客户端`,可以明显减轻请服务器的`内存压力`,服务端只需要用`算法解析客户端的token`就可以得到信息
cookie和session及token,为什么选择使用token?JWT使用
A-Itfuture的博客
09-22 1858
每一次请求都需要token。客户端在第一次访问服务器的时候,服务端会响应一个sessionId,并且将它存入到客户端本地的cookie,在之后的访问会将cookiesessionId放入到请求头去访问服务器,如果服务器通过这个sessionId没有找到对应的数据,那么服务器会创建一个新的sessionId并且响应给客户端。如果计算后的签名和带来的签名相同, 就知道用户已经登录过了,并且可以直接取到的user id , 如果不相同, 数据部分肯定被人篡改过, 我就告诉发送者: 对不起,没有认证
sessionjwt哪个更好
qq_46130027的博客
04-05 1436
如有严格管理用户信息的需求,推荐session。如无特殊需求,使用jwt。前端面试第16题:sessionjwt
为什么 APP 要用 token 而不用 session 认证
乙醚的专栏
02-17 7706
session 和 oauth token 并不矛盾,作为身份认证 token 安全性比session好,因为每个请求都有签名还能防止监听以及重放攻击,而session就必须靠链路层来保障通讯安全了。如上所说,如果你需要实现有状态的会话,仍然可以增加session来在服务器端保存一些状态
web 单点登录sso(single sign on)的实现方案:CAS, SAML, OIDC,JWT
u013905744的专栏
12-15 3347
什么是SSO? web登录的本质是什么? 如何增加状态/会话 单个系统的登录 扩展到多个系统,就是SSO 方案1:共享cookie,后台共享session spring session项目就是共享session,共享session放到redis Session Cookie要种在Web应用的根域上,也就是说不同Web应用的根域必须相同,否则会有跨域问题。 方案2:共享cookie,后台不共享session 签名的方式来校验 方案3:使用独立的认证心 CAS(central authen
http服务网络请求如何确保数据安全(含python示例源码)
最新发布
利哥AI实例探险
06-28 984
当今数据安全越来越重要,http网络请求数据安全加强要求是为了保护公民的隐私和数据安全,防范日益复杂的网络攻击,确保电子商务和在线服务的可靠性,并遵守相关法律法规。当前我参与的各类项目,均有安全检测,例如经常检测出的一些问题http协议数据传输,需采用校验码技术或密码技术保证重要数据在传输过程的完整性鉴别信息及重要业务数据采用经国家密码主管部门认可的密码技术,保证其在传输过程数据的保密性。
1. 用户认证:在分布式场景下做到用户的统一认证,建议 JWT
05-03
JSON Web Token (JWT) 是一种用于在网络应用之间安全传输信息的开放标准,它可以通过数字签名验证消息的可靠性和完整性。在分布式场景下,可以使用 JWT 实现用户的统一认证JWT 包含了用户的身份信息以及一些元数据,例如过期时间等。当用户登录成功后,服务器会生成一个 JWT 并返回给客户端,客户端在以后的每个请求都会将 JWT 作为 Authorization 头部信息发送给服务器。服务器收到请求后会验证 JWT 的有效性,并从提取出用户的身份信息进行后续操作。使用 JWT 可以减少服务器端的状态维护,提高系统的可扩展性和可维护性,因此是一种非常推荐的用户认证方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值