不要把 JWT 用作 session

最新推荐文章于 2024-04-03 15:31:59 发布
最新推荐文章于 2024-04-03 15:31:59 发布
阅读量675 收藏 3
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/duysh/article/details/103798624
版权

现在很多人使用 JWT 用作 session 管理,这是个糟糕的做法,下面阐述原因,有不同意见的同学欢迎讨论。

首先说明一下,JWT 有两种:

  • 无状态的 JWT,token 中包含 session 数据。

  • 有状态的 JWT,token 中仅有 session ID,session 数据还是存储在服务端。

本文讨论的是 “无状态的 JWT”,就是把用户的 session 数据放到 token 中。

JWT 不适合做为 session 机制,这么做是有危险的。

很多人喜欢比较 “cookies vs. JWT”,这种比较是无意义的,就像比较苹果和桔子,cookies 是一个存储机制,而 JWT 是加密签名的 token,他们不是对立的,可以一起使用,或者独立使用。

正确的比较是“sessions vs. JWT” 和 “cookies vs. Local Storage”。

JWT 宣称的优点

人们通常会说 JWT 有如下的好处:

  • 易于水平扩展
  • 简单易用
  • 加密,更安全
  • 内置过期功能
  • 可以防护 CSRF 攻击
  • 在用户阻止了cookies后还可以工作

对于这些所谓的好处我们会一一剖析。

(1)易于水平扩展

把 sess

最低0.47元/天 解锁文章
AI科技界面
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
你在用 JWT 代替 Session?
weixin_33851429的博客
09-01 4456
现在,JSON Web Tokens (JWT) 是非常流行的。尤其是 Web 开发领域。 流行 安全 稳定 易用 支持 JSON 所有这些因素,令 JWT 名声大振。 但是,今天我要来说说使用 JWT 的缺点。也就是为什么说将 JWT 用于会话控制是多么的糟糕。 为什么使用 JWT? 如果你不了解 JWT不要紧张,它并不可怕。 J...
不要JWT替代session管理(上):全面了解Token,JWT,OAuth,SAML,SSO
weixin_34130269的博客
07-03 1504
通常为了弄清楚一个概念,我们需要掌握十个概念。在判断 JWT (Json Web Token) 是否能代替 session 管理之前,我们要了解什么是 token,以及 access token 和 refresh token 的区别;了解什么是 OAuth,什么是 SSO,SSO 下不同策略 OAuth 和 SAML 的不同,以及 OAuth 与 OpenID 的不同,更重要的是区分 autho...
在分布式项目中,面对用户登录认证,使用JWT代替Session的原因
HellHellNo的博客
08-04 1003
1、服务器压力变大 使用Session进行用户认证,每增加1个用户进行登录认证,服务器就需分配内存存放Session,随着认证用户的增多,服务端的开销会明显增大 2、扩展性变差 用户登录认证记录保存在服务器内存中,则该用户下次发送登录请求时,必须在该台服务器上才可获得授权资源;假设在分布式系统中,多数初始用户认证请求被分配到服务器A、一部分到B、少部分到C,明显各服务器的请求数量不均等,限制了负载均衡器的能力,也就意味着限制扩展的能力 3、安全性变低 由于用户识别是基于Cookie进行的,若Cookie被截
登录认证: 为什么要使用JWT去替代cookie和session技术
pingzhuyan的博客
06-29 1580
另外,Cookie的过期时间通常是长期的,这意味着用户的信息可能会一直被存储在本地,从而被滥用。扩展性问题:Cookie和Session是基于HTTP协议的,而随着Web技术的发展,HTTP协议已经无法满足一些需要实现的业务需求,如WebSockets等。跨域问题:如果用户在多个域名下使用同一个网站,Cookie在不同域名之间传递会遇到阻碍,导致用户在使用该网站时出现问题。三部分 JWT通常由三部分构成,分别为Header(头部),Payload(负载),Signature(签名)
别再使用 JWT 作为 Session 系统!问题重重且很危险。
方志朋的博客
11-24 215
点击关注公众号,Java干货及时送达????来源:learnku.com/articles/22616首先需要说明JWT 坊间流传的优势易于水平扩展?易于使用?更加灵活?更加安全?内置过期时间功能?无需询问用户「本网站使用 Cookies」?防止 CSRF 攻击?更适用于移动端?适用于阻止 Cookies 的用户?JWT 的劣势更费空间更不安全无法单独销毁数据延迟实现库缺乏生产环境验证或压根不存在结论所...
Nodejs中的JWTSession的使用
01-20
最近的项目需要在node服务端做一个用户登录的校验以及权限拦截,专业一点叫用户认证与授权,经过一番收集资料,目前常用的有两种——JWTSession 使用JWT JWT是JsonWebTokens的简写形式,具体是啥我就不详细写了,...
JWT.zip + mvc5
05-25
- 在MVC5中,JWT通常用作身份验证的令牌,替代传统的Session或Cookie。 - 用户成功登录后,服务器会生成一个JWT,并返回给客户端。客户端在后续的请求中携带此JWT,服务器验证其有效性以确定用户的身份。 - 使用...
springsecurity jwt mybatis redis
08-01
同时,Redis还可以用于实现分布式Session管理,当用户在多台服务器间切换时,其会话信息依然可以保持一致。 整合这四个技术,我们可以构建一个高效、安全的Web应用。SpringSecurity负责整体的安全控制,JWT提供无...
session共享项目测试
12-17
此外,还可以考虑使用其他的Session共享方案,如基于Token的认证机制JWT,JSON Web Tokens)或Cookie-based方案,但这需要根据具体业务需求和技术栈进行选择。 总之,"session共享项目测试"是一个旨在解决分布式...
jwt-auth
03-30
在这个项目中,JWT用作身份验证机制。当用户成功登录后,服务器会生成一个JWT并发送给客户端,客户端在后续的请求中附带这个JWT,服务器验证其有效性,从而确定用户身份。 6. **Login/Registration**: 登录和注册...
JWTSession
weixin_36037473的博客
04-19 606
本文均从网上摘录 JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,...
面试官:SessionJWT有什么区别?
最新发布
磊哥聊Java
04-03 987
本文内容已收录至我的面试网站:www.javacn.siteSessionJWT(JSON Web Token)都是用于在用户和服务器之间建立认证状态的机制,但它们在工作原理、存储方式和安全性等方面存在着一些差异,下面我们一起来看。1.什么是JWTSession 我们已经很熟悉了,那什么是 JWT 呢?JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络上安...
用户认证:sessionJWT的区别
weixin_39307273的博客
08-14 4529
背景知识: Authentication和Authorization的区别: Authentication:用户认证,指的是验证用户的身份,例如你希望以小A的身份登录,那么应用程序需要通过用户名和密码确认你真的是小A。 Authorization:授权,指的是确认你的身份之后提供给你权限,例如用户小A可以修改数据,而用户小B只能阅读数据。 由于http协议是无状态的,每一次请求都无状态。当一个用户通过用户名和密码登录了之后,他的下一个请求不会携带任何状态,应用程序无法知道他的身份,那就必须重新认证。
别再用 JWT 作为 Session 系统了,问题重重,后果很危险!
Java_LingFeng的博客
12-20 730
SON Web Tokens,又称JWT。本文将详解:为何 JWT适合存储 Session,以及 JWT 引发的安全隐患。望各位对JWT有更深的理解!十分不幸,我发现越来越多的人开始推荐使用 JWT 管理网站的用户会话(Session)。在本文中,我将说明为何这是个非常非常不成熟的想法。需要澄清的是:本文并非挑起「永远不要使用 JWT」的争论 —— 只是想说明 JWT 并不适合作为 Session 机制,且十分危险。JWT 在其它方面的确有其用武之地。本文结尾,我将简短地介绍一些合理用途。
JWTsession的区别
go_forever_happy的博客
10-15 2943
区别 JWTsession最重要的区别是: JWT不需要存储,而是在服务端根据前端传回的token进行解密比对处理 session是在用户登录之后,给浏览器返回一个sessionid,另外在服务器端同时存储sessionid及必要的用户信息,在用户使用cookie把sessionid传回服务端,服务端基于sessionid去数据库查询,若查到则表示用户还在活跃期,同时也可以获取到存储的必要用户信息。 相同点 都需要使用cookie。 ...
系统登录认证流程对比(cookie方式与jwt)
iygxv
11-01 1355
系统登录认证流程对比(cookie方式与jwt) 一个正在努力爱好运动的程序猿座右铭:越努力越幸运,越运动越健康,热爱编程,热爱运动。 文章目录系统登录认证流程对比(cookie方式与jwt)一、cookie方式登录认证二、JWT(Json Web Token)方式登录认 一、cookie方式登录认证 步骤: 1.用户向服务器发送用户名和密码。 2.服务器验证后,相关数据(如用户角色等)将保存在当前会话(session)中。 3.服务器向用户返回sessionId会写入到用户的Cookie。 4
Cookie、Session、Token、JWT
kagurawill的博客
12-30 1390
什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账号的主人 什么是授权(Authorization) 用户授予第三方应用访问该用户某些资源...
JWTsession-cookie区别
b540969928的博客
03-21 993
session-cookie原理: 用户发送用户名密码给服务器 服务器检验通过后通过uuid或其他生成一个随机字符串作为sessionId,以该sessionId作为主键,内容为session详细数据,保存在服务器。可以保存在redis、单机session、数据库等地方。 把sessionId回传给浏览器,放在cookie中。 浏览器访问时,把sessionId提交给服务器,服务器根据s...
jwtsession的取舍
weixin_42165130的博客
11-01 960
一、session 1.传统的session认证 http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求...
jwtsession
08-13
JWT(JSON Web Token)和Session是用于身份验证和会话管理的两种不同的机制JWT是一种轻量级的身份验证机制,它使用JSON格式来定义和传输安全信息。JWT由三部分组成:头部(Header)、载荷(Payload)和签名...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值