别再用 JWT 作为 Session 系统了,问题重重,后果很危险!

最新推荐文章于 2024-09-29 08:33:21 发布
最新推荐文章于 2024-09-29 08:33:21 发布
阅读量811 收藏
点赞数
文章标签: java 前端 网络 开发语言 程序人生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Java_LingFeng/article/details/128383363
版权
本文揭示了使用 JSON Web Tokens (JWT) 作为 Session 系统的潜在问题,包括安全性、空间占用、不可单独销毁等问题,并建议开发者谨慎使用 JWT 管理用户会话,强调其更适合一次性授权场景。
摘要由CSDN通过智能技术生成

SON Web Tokens,又称 JWT。本文将详解:为何 JWT 不适合存储 Session,以及 JWT 引发的安全隐患。望各位对JWT有更深的理解!

十分不幸,我发现越来越多的人开始推荐使用 JWT 管理网站的用户会话(Session)。在本文中,我将说明为何这是个非常非常不成熟的想法。

为了避免疑惑和歧义,首先定义一些术语:

  • 无状态 JWT(Stateless JWT):包含 Session 数据的 JWT Token。Session 数据将被直接编码进 Token 内。
  • 有状态 JWT(Stateful JWT):包含 Session 引用或其 ID 的 JWT Token。Session 数据存储在服务端。
  • Session token(又称 Session cookie):标准的、可被签名的 Session ID,例如各类 Web 框架(译者注:包括 Laravel)内已经使用了很久的 Session 机制。Session 数据同样存储在服务端。

需要澄清的是:本文并非挑起「永远不要使用 JWT」的争论 —— 只是想说明 JWT 并不适合作为 Session 机制,且十分危险。JWT 在其它方面的确有其用武之地。本文结尾,我将简短地介绍一些合理用途。

首先需要说明

很多人错误地尝试比较 Cookies 和 JWT。这种对比毫无意义,就像对比内存和硬盘一样。Cookies 是一种存储机制,然而 JWT Tokens 是被加密并签名后的令牌。

它们并不对立 —— 相反,他们可以独立或结合使用。正确的对比应当是:Session 对比 JWT,以及 Cookies 对比 Local Storage

在本文中,我将把 JWT Tokens 同 Session 展开对比,并偶尔对比 Cookie 和 Local Storage。这样的比较才有意义。

推荐一个开源免费的 Spring Boot 最全教程:

GitHub - javastacks/spring-boot-best-practice: Spring Boot 最佳实践,包括自动配置、核心原理、源码分析、国际化支持、调试、日志集成、热部署等。

JWT 坊间流传的优势

在人们安利 JWT 时,常常宣扬以下几点好处:

  • 易于水平扩展
  • 易于使用
  • 更加灵活
  • 更加安全
  • 内置过期时间功能
  • 无需询问用户「本网站使用 Cookies」
最低0.47元/天 解锁文章
Java_LingFeng
关注
企业级安全攻防三:身份认证,只有账号密码吗?
运维大湿兄的博客
04-08 1211
本文开始前,我门可以先思考一下:除了账号密码,我们还能怎么做身份认证? 我们前面详细讲解了密码学的三种算法:高效安全的对称加密算法,解决密钥分发难题的非对称加密算法,以及提供单向加密的散列算法。 如果在面试中,在表达了你对密码学清晰的理解之后,面试官开始相信你具备安全方面的基础知识了。于是,他准备和你探讨一下安全落地的细节。基于你之前提出的“黄金法则”,面试官问道:“黄金法则的认证(Authent...
别再用 JWT 作为 Session 系统问题重重后果危险
架构文摘
10-30 107
来源:cryto.net/~joepie91/blog/2016/06/13/stop-using-jwt-for-sessionsJSON Web Tokens,又称 JWT。本文将详解:为何 JWT 不适合存储 Session,以及 JWT 引发的安全隐患。望各位对JWT有更深的理解!十分不幸,我发现越来越多的人开始推荐使用 JWT 管理网站的用户会话(Session)。在本文中,我将说明为何...
别再使用 JWT 作为 Session 系统问题重重且很危险
weixin_44834205的博客
11-27 559
别再使用 JWT 作为 Session 系统问题重重且很危险
不要JWT替代session管理(上):全面了解Token,JWT,OAuth,SAML,SSO
weixin_34130269的博客
07-03 1534
通常为了弄清楚一个概念,我们需要掌握十个概念。在判断 JWT (Json Web Token) 是否能代替 session 管理之前,我们要了解什么是 token,以及 access token 和 refresh token 的区别;了解什么是 OAuth,什么是 SSO,SSO 下不同策略 OAuth 和 SAML 的不同,以及 OAuth 与 OpenID 的不同,更重要的是区分 autho...
不要JWT 用作 session
01-02 703
现在很多人使用 JWT 用作 session 管理,这是个糟糕的做法,下面阐述原因,有不同意见的同学欢迎讨论。 首先说明一下,JWT 有两种: 无状态的 JWT,token 中包含 session 数据。 有状态的 JWT,token 中仅有 session ID,session 数据还是存储在服务端。 本文讨论的是 “无状态的 JWT”,就是把用户的 session 数据放到 to...
别再使用 JWT 作为 Session 系统问题重重且很危险
芋艿V
11-28 179
点击上方“芋道源码”,选择“设为星标”管她前浪,还是后浪?能浪的浪,才是好浪!每天 10:33更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析作业调度中间件 E...
别再使用 JWT 作为 Session 系统问题重重且很危险
Java精选
12-03 221
JSON Web Tokens,又称JWT。本文将详解:为何 JWT 不适合存储 Session,以及 JWT 引发的安全隐患。望各位对JWT有更深的理解!十分不幸,我发现越来越多的人开始推荐使用 JWT 管理网站的用户会话(Session)。在本文中,我将说明为何这是个非常非常不成熟的想法。为了避免疑惑和歧义,首先定义一些术语:无状态 JWT(Stateless JWT):包含 Session...
Nodejs中的JWTSession的使用
10-18
无论使用 JWT 还是 Session 认证,一般都会设置一些不需要认证的路由,比如登录接口和获取用户信息的接口。可以通过中间件来实现这一功能,如文章中提到的使用 express-jwt 中间件的 unless 方法来跳过对特定路径的 ...
针对分布式或集群session同步问题,改用jwt的续期解决方案.docx
10-26
### 针对分布式或集群Session同步问题:JWT续期解决方案 #### 一、背景介绍 随着前后端分离架构的普及和技术的发展,越来越多的应用选择使用轻量级的身份验证方法来确保数据安全。其中,JSON Web Token (JWT) 成为...
jwtsession的取舍
weixin_42165130的博客
11-01 1009
一、session 1.传统的session认证 http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求...
你在用 JWT 代替 Session?
weixin_33851429的博客
09-01 4490
现在,JSON Web Tokens (JWT) 是非常流行的。尤其是 Web 开发领域。 流行 安全 稳定 易用 支持 JSON 所有这些因素,令 JWT 名声大振。 但是,今天我要来说说使用 JWT 的缺点。也就是为什么说将 JWT 用于会话控制是多么的糟糕。 为什么使用 JWT? 如果你不了解 JWT不要紧张,它并不可怕。 J...
你的项目真的需要Session吗?redis保存session性能怎么样?
热门推荐
dz45693的专栏
12-30 1万+
在web开发中,Session这个东西一直都很重要,至少伴随我10年之久, 前一段时间发生一个性能问题,因为redis session 问题,后来想想 其实我的项目session 是不需要的。 先看看 test 的code吧: public class HomeController : Controller { public ActionResult Index()
Spring Boot 学习和使用
cesske的博客
09-24 1208
Spring Boot是一款开源的Java Web应用框架,旨在简化Spring应用的初始搭建以及开发过程。Spring Boot通过整合Spring技术栈中的诸多关键组件,为开发者提供了一种快速、简便的Spring应用开发方式。它遵循“约定优于配置”的原则,通过自动配置、起步依赖和内置的Servlet容器,极大地简化了传统Spring应用的配置和部署过程。Spring Boot通过其自动化配置、起步依赖、内嵌服务器等特性,极大地简化了Spring应用的开发和部署过程。
工厂模式的介绍及实现
户伟伟的博客
09-25 142
工厂模式(Factory Pattern)是一种创建型设计模式,提供了一种创建对象的接口,而无需显式指定对象的具体类。在这种模式中,我们通过定义一个工厂类,专门负责生产各种类型的对象,这样我们可以避免直接在代码中实例化具体类,使代码更具扩展性、灵活性和维护性。解耦:客户端代码与具体的类解耦,避免了对象创建逻辑的重复。简化对象创建:通过工厂统一管理对象的创建逻辑,使代码更清晰易懂。扩展性强:新增类时,只需在工厂中增加创建逻辑,而不必修改现有的业务代码。
基于JavaWeb开发Java+SpringMvc+vue+element实现驾校管理系统详细设计
央顺科技官方博客
09-24 1009
机遇与挑战始终并存。在开放的互联网平台面前,驾校预约管理系统的信息管理面临着巨大的挑战。传统的管理模式局限于简单数据的管理,无法适应不断变化的市场格局。在早期阶段,在将计算机技术和网络技术融入驾校预约管理系统数据管理方法之前,所有管理方式都通过人工操作完成了管理信息的。系统管理也都将通过计算机进行整体智能化操作,对于驾校预约管理系统所牵扯的管理及数据保存都是非常多的,举例像所有详细信息包括,管理员;首页、个人中心、学员管理、驾校教练管理、驾校车辆管理、预约管理、取消预约管理、驾校公告管理系统管理
Java Alibaba Druid 数据库连接池
miracle的专栏
09-24 789
Java开发中,数据库连接池是性能优化的重要一环。而作为一款强大的数据库连接池解决方案,凭借其和对多种数据库的支持,成为了许多企业级应用的首选。本篇文章将介绍Druid的核心特性,并结合不同数据库的实际用法。
JPA+Thymeleaf增删改查
y050505的博客
09-25 492
在使用JPA(Java Persistence API)和Thymeleaf作为模板引擎进行Web开发时,实现增删改查(CRUD)操作是一个常见的需求。下面,我将简要介绍如何使用Spring Boot框架结合JPA和Thymeleaf来实现这一功能。
进程管理工具:非daemon进程管理工具supervisor
最新发布
happy_king_zi的博客
09-29 999
supervisor是一个 Client/Server模式的系统,允许用户在类unix操作系统上监视和控制多个进程,或者可以说是多个程序。supervisor与launchd,daemontools,runit等程序有着相同的功能,与其中某些程序不同的是,它并不作为“id 为 1的进程”而替代init。相反,它用于控制应用程序,像启动其它程序一样,通俗理解就是,把Supervisor服务管理的进程程序,它们作为supervisor的子进程来运行,而supervisor是父进程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值