JWT登录凭证和TOKEN登录凭证对比

最新推荐文章于 2024-03-27 16:56:34 发布
最新推荐文章于 2024-03-27 16:56:34 发布
阅读量1.4k 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bihaiyanyu/article/details/109780805
版权

前几天新搭一个项目框架,在用户登录凭证选择上纠结了好久。之前我一直用的redis+token认证方式,这种方式感觉灵活也方便,然后同事说应该用JWT令牌方式,现在比较火。然后一场针对怎么选,选什么好的辩论展开了。针对这种技术选型的讨论,我觉得还挺有意思的,其实还是那句话:没有最好的方案,也不存在哪个更好,只是针对不同应用场景有做出合适的选择,那就是最好的。以下是我个人对token和JWT的对比理解:

共同点

  1. 两者都可以携带用户信息
  2. 都是访问资源的令牌
  3. 都是使服务端无状态化
  4. 都是只有验证成功后,客户端才能访问服务端上受保护的资源

区别

  • JWT: 将 Token凭证 、过期时间还有用户信息等加密后存储于客户端,服务端只需要使用密钥解密进行校验(校验也是 JWT 自己实现的)即可,服务端不需要管理JWT令牌,因为 JWT 自包含了用户信息和加密的数据。
  • Token:依赖于redis服务,增加了一个缓存中间件,增大系统的复杂度。

jwt劣势

  • jwt加密方式会是密文变得很长,不便传输及管理。
  • jwt实现令牌缓存在客户端,服务端无法管理,比如要往登录凭证缓存更多信息,没办法控制。
  • jwt登录状态受客户端控制,如果做同一台机器只能一个用户登录这种服务端控制策略,不是很好做

token的劣势

  • 增加了中间件是系统变得更复杂。
  • 服务端得管理维护用户token,做服务迁移的时候,还得考虑用户登录凭证的迁移。

选择

个人觉得不管是JWT还是token没有觉得的好和坏,移动端应用我偏向选择token认证方式,accessToken+refreshToken认证机制更灵活,如果有单用户单一登录需求,最好用token认证方式。web端应用可以考虑采用JWT,登录凭证方便管理。

以上只是个人见解,由于研究的不是很深,想必还有很多不足的地方,欢迎各位大牛指正和补充。

碧海燕鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JavaWeb】了解认证、授权、凭证、Cookie、Session、TokenJWT
墩墩分墩
06-24 1751
文章目录一.什么是认证(Authentication)二.什么是授权(Authorization)三.什么是凭证(Credentials)四.Cookie1.什么是Cookie2.Cookie产生的过程3.Cookie存放的位置4.cookie 重要的属性4.1.**Path属性使用**4.2.Domain属性使用5.SessionStorage,LocalStorage五.Session1.什么是Session2.Session产生的过程六.Cookie 和 Session 的区别七.什么是 Token
shiro-jwt-wx:微信小程序登录,使用shiro+JWT(Token
05-14
调用 wx.login() 获取 临时登录凭证code ,并回传到开发者服务器。 访问login接口,并将code给后台 被JwtShirioFilter拦截(在shiro配置中配置的),查看有没有token在Header 有则自动执行登录操作,核实token的合法性...
了解认证、授权、凭证、Cookie、Session、TokenJWT
suifeng0614的博客
01-03 1330
了解认证、授权、凭证、Cookie、Session、TokenJWT
jwttoken区别
最新发布
lied1663634806的博客
03-27 612
jwttoken区别
tokenJWT token区别、登录安全、页面权限、数据权限、单点登录
感冒石头的博客
09-27 4166
包括:iss(issuer)、exp(expiration time)、sub(subject)、aud(audience)等 2)Plubic Claims, 3)Private Claims,交换信息的双方自定义的声明 { "sub": "1234567890", "name": "John Doe", "admin": true } 同样经过Base64Url编码后形成第二部分。{ "alg": "HS256", "typ": "JWT" } 这会被经过base64Url编码形成第一部分。
传统tokenJwt区别及优缺点
qq_41369135的博客
05-08 3815
一、传统token 例子:传统token登陆过程 前端点击登陆,服务器验证账号密码成功 服务器生成令牌,本质是一个32位的uuid 将该令牌存到数据库或redis中,key是uuid,value是userId 把令牌返给客户端,客户端把令牌存在cookie中。 下次请求的时候就把令牌放在请求头里带上 从redis中验证该令牌是否过期 获取value内容userId 根据userId查询用户信息,再返回客户端 传统toke.
JWTtoken的区别及优缺点
一诺
03-05 8024
我们首先应该知道的是什么是单点登录,单点登录是如何实现的,使用了什么技术,技术的选型、优缺点,应用和实现的步骤过程中的难点有哪些怎么解决的等。 技术的话:tokenJWT的区别、JWT和redis的区别应用、是否使用到了消息中间件有的话kafka和其他MQ的比较、实现过程中的相关协议等。从其中总结对这些问题点进行总结。
jwttoken+redis,哪种方案更好用?
dotNET跨平台
04-25 919
问:jwttoken+redis,哪种方案更好用?其实JWT就是Json Web Token,就是Token的典型方式。题主的JWTToken+Redis的区别,其实都是Token,只...
Java中基于Shiro,JWT实现微信小程序登录完整例子及实现过程
08-26
主要介绍了Java中基于Shiro,JWT实现微信小程序登录完整例子 ,实现了小程序的自定义登陆,将自定义登陆态token返回给小程序作为登陆凭证。需要的朋友可以参考下
基于Shiro, JWT实现微信小程序登录完整例子
01-27
微信小程序登录完整实现例子(基于Shiro,JWT) 微信小程序登陆流程图说明 : 上图是小程序登陆的官方流程图说明,官方地址 : 如果有对官方说明不清楚的地方,也可参看我的博客 : 本文博客链接 : 主要实现: 实现了小程序...
如何基于python对接钉钉并获取access_token
12-20
1.首先注册应用,获取 appkey、... ...def get_token(): # try: res = requests.get(api_url) if res.status_code == 200: str_res = res.text token = (json.loads(str_res)).get('access_token') return token 2
jwt:Flask JWT示例
04-19
session和jwt即为两种解决方案。 JWT 全称:Json Web Token,一种 web 认证标准【解决方案】;是使用特定数据结构(header、payload、signature)包含信息(如请求客户端的用户和权限信息)、特定算法(加密)、特定...
JWT基本使用及常用验证方式对比
weixin_44906271的博客
04-26 455
这里写目录标题传统验证方式JWT是什么JWT机制优缺点使用依赖jwtUtil拦截器配置拦截器和跨域问题: 传统验证方式 在前后端分离的场景中,包括APP端和WEB端,由于http协议是无状态的,那么用户登录认证之后,再向服务器发送的请求的时候,服务器是不知道这个这个用户是否已经登录认证过了。 传统的方式是通过cookie和session,用户登录之后将用户信息存储在session中,下次请求的时...
JWT凭证生成及验证
qq_44606649的博客
12-05 590
引入依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> JWT工具类 public class JWTUtil { //签名 private static final Strin.
tokenjwt的区别
m0_56282664的博客
02-27 390
tokenjwt的区别
普通令牌tokenjwt令牌token区别以及使用场景
西京刀客
08-26 8405
文章目录token分类普通令牌JWT令牌 token分类 SpringSecurityOauth2令牌 参考URL: https://www.yuque.com/gaoxi-dj1fr/fxgaxe/ivvpqc 1.普通令牌的作用:唯一标识存贮在数据库或内存中的用户信息,在认证时,SpringSecurity拿着普通令牌去数据库中查询用户信息使用 2.jwt令牌的作用:jwt令牌中本身存储着用户信息,在认证时,SpringSecurity从jwt令牌中解析出用户信息即可,不需要借助数据库等进行存储 普通令
传统 token 方式和 jwt 在认证方面的差异
JohnMin的博客
02-25 660
1.传统token方式 用户登录成功后,服务端生成一个随机token给用户,并且在服务端(数据库或缓存)中保存一份token,以后用户再来访问时需携带token,服务端接收到token之后,去数据库或缓存中进行校验token的是否超时、是否合法。( 用的是session方法,session是基于cookie来传输的,session信息是存储在服务器端中) 2.jwt方式 用户登录成功后,服务端通过jwt生成一个随机token给用户(服务端无需保留token),以后用户再来访问时需携带token,服务端接收到
jwttoken的区别
编程技术提升
09-07 3215
需要注意的是,无论是Token还是JWT,都需要注意安全性,例如使用HTTPS来保证传输过程的安全性,以及适当地设置TokenJWT的过期时间,避免被恶意使用。而一般的Token没有这种机制,只能通过验证Token的合法性来确保安全性。JWT是无状态的,即服务端不需要保存任何用户信息,只需验证JWT的签名即可。总的来说,JWT是一种更安全、更灵活、更轻量级的身份验证机制,适用于分布式系统和无状态的API。JWT可以存储更多的信息,例如用户的角色、权限等,而一般的Token只能存储有限的信息。
cas单点登录jwt登录
09-14
CAS(Central Authentication Service)是一种单点登录(SSO)协议和服务器,用于集中管理用户的身份认证和授权。CAS通过在客户端和服务端之间建立一个可信任的认证中心来实现单点登录。当用户登录一个CAS客户端应用时,CAS会验证用户的凭据,并为其生成一个令牌(ticket)。该令牌可以用于访问其他受信任的CAS客户端应用,而无需再次输入凭据。这样,用户只需要登录一次,即可在多个应用中进行访问。 JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在不同系统之间传递安全可靠的信息。它使用JSON格式对信息进行编码,并使用数字签名进行验证和保护。JWT通常用于身份认证和授权,可以被用作用户的身份凭证。当用户登录成功后,服务器会生成一个JWT并返回给客户端。客户端在后续的请求中将该JWT作为身份凭证发送给服务器进行验证,从而实现用户认证和授权。 CAS单点登录JWT登录都提供了一种实现用户身份认证和授权的方式。它们各有优势和适用场景。 CAS单点登录适合于企业内部系统或者具有多个相关性强的应用,CAS作为中心认证服务器,可以实现在多个应用之间共享登录状态,用户只需登录一次即可访问所有受信任的应用。CAS提供了集中管理用户身份认证和授权的能力,可以方便地管理用户的权限和会话。 JWT登录适合于分布式系统或者跨域的应用,因为JWT是基于令牌的身份验证方式,不需要在服务器端存储用户的登录状态。JWT是无状态的,每个请求都包含了认证信息,服务器通过验证JWT的数字签名来确认用户的身份和权限。JWT具有轻量级、可扩展和易于集成等优势,适用于微服务架构和前后端分离的应用。 总之,CAS单点登录JWT登录都是常见的身份认证和授权方式,根据具体的场景和需求选择合适的方式进行实现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值