1.jwt是什么
Json web token(JWT),是为了在网络应用环境间传递声明而执行的一中基于JSON的开放标准。常用于分布式站点的单点登录。
JWT的声明一般被用在客户端与服务端之间传递身份认证信息,便于向服务端请求资源。
1.1.原理
1)客户端提交用户名密码等信息到服务端请求登录,服务端在验证通过后前发一个具有时效性的token,将token返回给客户端
2)客户端收到token后会将token存储在cookie或localStorage中
3)随后客户端每次请求都会携带这个token,服务端收到请求后校验该token并在验证通过后返回对应资源
2.起源
基于传统的session认证看jwt的起源
2.1.session认证
解决http协议本身并不能记录状态问题,session在每一次会话开始时产生,用于存放会话信息,每个session以键值对的方式生成(session_id=session),将session_id以cookie的形式(set-cookie)返回给客户端,客户端再次请求时携带session_id,服务端根据session_id使用对应的session作为认证信息为客户端响应对应服务
2.2.传统session认证问题
1)服务端开销问题:由于认证信息存储在服务端,当认证用户量增加时,服务端开销会明显增大
2)扩展性不佳:由于存储在服务器端,意味着后续的请求也必须是在同一台服务器上才能响应对应资源,对于分布式应用,限制了负载均衡的能力以及应用扩展能力
3)CSRF攻击