JWT登录凭证和TOKEN登录凭证对比

最新推荐文章于 2024-09-09 11:31:18 发布
最新推荐文章于 2024-09-09 11:31:18 发布
阅读量1.5k 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bihaiyanyu/article/details/109780805
版权

前几天新搭一个项目框架,在用户登录凭证选择上纠结了好久。之前我一直用的redis+token认证方式,这种方式感觉灵活也方便,然后同事说应该用JWT令牌方式,现在比较火。然后一场针对怎么选,选什么好的辩论展开了。针对这种技术选型的讨论,我觉得还挺有意思的,其实还是那句话:没有最好的方案,也不存在哪个更好,只是针对不同应用场景有做出合适的选择,那就是最好的。以下是我个人对token和JWT的对比理解:

共同点

  1. 两者都可以携带用户信息
  2. 都是访问资源的令牌
  3. 都是使服务端无状态化
  4. 都是只有验证成功后,客户端才能访问服务端上受保护的资源

区别

  • JWT: 将 Token凭证 、过期时间还有用户信息等加密后存储于客户端,服务端只需要使用密钥解密进行校验(校验也是 JWT 自己实现的)即可,服务端不需要管理JWT令牌,因为 JWT 自包含了用户信息和加密的数据。
  • Token:依赖于redis服务,增加了一个缓存中间件,增大系统的复杂度。

jwt劣势

  • jwt加密方式会是密文变得很长,不便传输及管理。
  • jwt实现令牌缓存在客户端,服务端无法管理,比如要往登录凭证缓存更多信息,没办法控制。
  • jwt登录状态受客户端控制,如果做同一台机器只能一个用户登录这种服务端控制策略,不是很好做

token的劣势

  • 增加了中间件是系统变得更复杂。
  • 服务端得管理维护用户token,做服务迁移的时候,还得考虑用户登录凭证的迁移。

选择

个人觉得不管是JWT还是token没有觉得的好和坏,移动端应用我偏向选择token认证方式,accessToken+refreshToken认证机制更灵活,如果有单用户单一登录需求,最好用token认证方式。web端应用可以考虑采用JWT,登录凭证方便管理。

以上只是个人见解,由于研究的不是很深,想必还有很多不足的地方,欢迎各位大牛指正和补充。

碧海燕鱼
关注
tokenJWT token区别、登录安全、页面权限、数据权限、单点登录
感冒石头的博客
09-27 4355
包括:iss(issuer)、exp(expiration time)、sub(subject)、aud(audience)等 2)Plubic Claims, 3)Private Claims,交换信息的双方自定义的声明 { "sub": "1234567890", "name": "John Doe", "admin": true } 同样经过Base64Url编码后形成第二部分。{ "alg": "HS256", "typ": "JWT" } 这会被经过base64Url编码形成第一部分。
JWT(Json Web Token)实现无状态登录
yiXin_Chen的博客
02-28 749
1.1.什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。 缺点是什么? 服务端保存大量数据,增加服务端压力 服务端保存用户状态,无法进行水平扩展 客户端请求依赖服务..
传统tokenJwt区别及优缺点
qq_41369135的博客
05-08 4445
一、传统token 例子:传统token登陆过程 前端点击登陆,服务器验证账号密码成功 服务器生成令牌,本质是一个32位的uuid 将该令牌存到数据库或redis中,key是uuid,value是userId 把令牌返给客户端,客户端把令牌存在cookie中。 下次请求的时候就把令牌放在请求头里带上 从redis中验证该令牌是否过期 获取value内容userId 根据userId查询用户信息,再返回客户端 传统toke.
JWT与传统Token机制对比:实现安全高效的用户认证
最新发布
qq_61829974的博客
09-09 1436
JWT是一种开放标准(RFC 7519),它定义了一种自包含的凭证,用于在各方之间以安全的方式传输信息。JWT由三部分组成:Header(头部)、Payload(载荷)和Signature(签名)。Header:包含了令牌类型和签名算法的信息。Payload:是JWT的主题部分,包含了一系列声明(Claims)。声明是关于主体的信息,通常用来传输用户数据。1{4}Signature:用于验证数据的完整性和确认JWT是否被篡改。
JWTtoken的区别及优缺点
kymengfw的博客
05-19 1701
JWTtoken的区别及优缺点 TOKEN 概念: 令牌, 是访问资源的凭证。 1、Token的认证流程: 用户输入用户名和密码,发送给服务器。 服务器验证用户名和密码,正确的话就返回给客户端一个签名过的token。 浏览器客户端拿到这个token,存储到cookie或者localStorage中。 客户端后续每次请求中,会在 header中携带token发送给服务器。 服务器器验证token并解析出用户ID等相关信息,通过调取数据库信息比对,如果有效那么
JWT登录认证与Token续期最佳实践:对比与选择
标题:["JWT实现登录认证 + Token自动续期方案:正确实践与选择分析", "2022-10-15", "分布式环境下的安全与性能考量"] 描述:本文档深入探讨了在互联网开发中常用的两种认证机制——基于会话(Session)和JSON Web...
springboot+springSecurity+jwt实现的基于token的权限管理的一个demo
02-16
Spring Boot、Spring Security和JWT(JSON Web Token)的组合提供了一种高效且灵活的方式来实现权限管理。这个“springboot+springSecurity+jwt实现的基于token的权限管理的一个demo”旨在演示如何在Spring Boot应用...
SpringSecurity之JWT实现token认证和授权.zip
08-09
在这个主题中,我们将深入探讨如何使用Spring Security结合JSON Web Token (JWT) 实现token认证和授权。 JWT 是一种轻量级的、安全的、无状态的身份验证机制,常用于API的鉴权。它通过在客户端和服务器之间传递令牌...
基于springboot+springSecurity+jwt实现的基于token的权限管理+源代码+文档
04-09
在本系统中,JWT用于生成和验证用户登录后的token,实现无状态的身份认证。 4. **基于Token的权限管理**: 传统的Session-Cookie机制在分布式环境中存在局限性,而JWT的无状态性使其成为理想的选择。当用户成功...
jwttoken+redis,哪种方案更好用?
热门推荐
微软MVP Eleven
04-23 3万+
问:jwttoken+redis,哪种方案更好用? 其实JWT就是Json Web Token,就是Token的典型方式。题主的JWTToken+Redis的区别,其实都是Token,只是JWT的可靠性保障是来源于加密算法(对称加密和非对称两种),而Token+Redis的方案是依靠的后台数据存储。这两个本质也就带来了使用上的区别: 1 JWT是去中心化的,不需要任何后台数据的共享,第三方认证、跨数据中心认证、微服务等,都适合采用JWT的方式,当然,因为是去中心化的,不是实时验证,所以本质上来说toke
jwttoken的区别
编程技术提升
09-07 5015
需要注意的是,无论是Token还是JWT,都需要注意安全性,例如使用HTTPS来保证传输过程的安全性,以及适当地设置TokenJWT的过期时间,避免被恶意使用。而一般的Token没有这种机制,只能通过验证Token的合法性来确保安全性。JWT是无状态的,即服务端不需要保存任何用户信息,只需验证JWT的签名即可。总的来说,JWT是一种更安全、更灵活、更轻量级的身份验证机制,适用于分布式系统和无状态的API。JWT可以存储更多的信息,例如用户的角色、权限等,而一般的Token只能存储有限的信息。
JWT基本使用及常用验证方式对比
weixin_44906271的博客
04-26 486
这里写目录标题传统验证方式JWT是什么JWT机制优缺点使用依赖jwtUtil拦截器配置拦截器和跨域问题: 传统验证方式 在前后端分离的场景中,包括APP端和WEB端,由于http协议是无状态的,那么用户登录认证之后,再向服务器发送的请求的时候,服务器是不知道这个这个用户是否已经登录认证过了。 传统的方式是通过cookie和session,用户登录之后将用户信息存储在session中,下次请求的时...
对比三种认证方式:传统token认证,jwt认证,oauth认证
qq1319713925的博客
12-11 2950
详解几种认证方式的原理和区别
JWT凭证生成及验证
qq_44606649的博客
12-05 635
引入依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> JWT工具类 public class JWTUtil { //签名 private static final Strin.
tokenjwt的区别
m0_56282664的博客
02-27 442
tokenjwt的区别
DAY4------对JWT的了解,它和常规token有什么不同
Mi_Ni_BoX的博客
05-12 365
JWT的了解,它和常规token有什么不同?(减轻服务器的负担,携带蕴含信息变多了,json编码的,原则上在任何web应用程序上都支持,适用性广)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值