JWT的token与session的区别

已于 2023-08-09 00:00:00 修改
阅读量424 收藏
点赞数 1
分类专栏: Springboot 项目相关 文章标签: java spring boot
于 2023-07-28 17:20:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hhb442/article/details/131984567
版权

背景知识

Authentication:用户认证,指的是验证用户的身份,例如你希望以小A的身份登录,那么应用程序需要通过用户名和密码确认你真的是小A。

Authorization:授权,指的是确认你的身份之后提供给你权限,例如用户小A可以修改数据,而用户小B只能阅读数据。

由于http协议是无状态的,每一次请求都无状态。当一个用户通过用户名和密码登录了之后,他的下一个请求不会携带任何状态,应用程序无法知道他的身份,那就必须重新认证。因此我们希望用户登录成功之后的每一次http请求,都能够保存他的登录状态。

目前主流的用户认证方法有基于token和基于session两种方式。

什么是JWT

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

起源

说起JWT,我们应该来谈一谈基于token的认证和传统的session认证的区别。

传统的session认证

我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息(session),这份登录信息(sessionID,sessionID用来识别session)会在响应时传递给浏览器,浏览器将sessionID保存在cookie中,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。

但是这种基于session的认证使应用本身很难得到扩展,随着不同客户端用户的增加,独立的服务器已无法承载更多的用户,而这时候基于session认证应用的问题就会暴露出来.

session认证流程

  1. 用户输入其登录信息

  2. 服务器验证信息是否正确,并创建一个session,然后将用户信息(如用户名ID等)放在session中并保存在服务器端的内存中

  3. 服务器为用户生成一个sessionId,将具有sesssionId的Cookie将放置在用户浏览器中(浏览器中cookie存放的是sessionID)

  4. 在后续请求中,浏览器携带sessionID发送请求,服务器端会验证sessionID并从session中获取当前登录用户信息

  5. 一旦用户注销应用程序,会话将在客户端和服务器端都被销毁

session代码示例

  • 服务端向session中存储信息的过程,后续响应会返回sessionID存放在浏览器cookie中。session存在服务器内存中
    在这里插入图片描述
  • 服务端在session中获取用户信息的过程,请求时携带了sessionID(解析sessionID的过程不在代码中)。session存在服务器内存中
    在这里插入图片描述
基于session认证所显露的问题

Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大

扩展性: 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力

CSRF: 因为是基于cookie来进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。

基于token的鉴权机制

基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利

流程上是这样的:

  1. 用户输入其登录信息

  2. 服务器验证信息是否正确,并返回已签名的token

  3. token储在客户端,例如存在local storage或cookie中

  4. 之后的HTTP请求都将token添加到请求头里

  5. 服务器解码JWT,并且如果令牌有效,则接受请求

  6. 一旦用户注销,令牌将在客户端被销毁,不需要与服务器进行交互一个关键是,令牌是无状态的。后端服务器不需要保存令牌或当前session的记录。
    在这里插入图片描述

这个token必须要在每次请求时传递给服务端,它应该保存在请求头里, 另外,服务端要支持CORS(跨来源资源共享)策略,一般我们在服务端这么做就可以了Access-Control-Allow-Origin: *

基于token机制的代码示例

前后端分离项目

  • 第一次登录时,验证后, 通过用户id和密码签证生成token,并在响应中返回token
    在这里插入图片描述
  • 前端存储token,存储在浏览器的localstorage中

在这里插入图片描述

  • 前端请求其他后端接口时携带token,在请求头中携带

在这里插入图片描述

  • 后端通过请求头token,不但可以获取用户信息,还可以进行用户认证,下面是拦截器进行用户认证
    在这里插入图片描述
  • 通过token获取当前登录用户信息,获取token后去数据库中查询,而不是向session那样直接在服务器内存中拿,不需要去考虑用户在哪一台服务器登录了
    在这里插入图片描述
    在这里插入图片描述

那么我们现在回到JWT的主题上。

JWT的详细解释见文章 JWT

Peanutty
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Cookie、SessionTokenJWT
07-21
Cookie、SessionTokenJWT 是常用于身份验证和状态管理的概念和技术。它们在Web应用程序中起到关键的作用。 Cookie:Cookie 是服务器在客户端存储的小型数据文件。它通常用于在客户端存储用户的身份验证信息或其他状态数据。当客户端请求服务器时,会将 Cookie 信息附加在 HTTP 请求的头部中发送给服务器。服务器可以读取和解析 Cookie 来获取用户的身份信息或其他状态。Cookie 可以设置过期时间,可以在多个请求之间保持状态。 SessionSession 是服务器端存储用户信息的一种机制。服务器在用户首次访问时为其创建一个唯一的会话标识符(Session ID),并将该标识符存储在服务器上。客户端在后续的请求中会将该 Session ID 作为 Cookie 发送给服务器。服务器使用 Session ID 来获取对应的用户信息。Session 可以存储敏感数据,且在服务器端存储,相对安全。 TokenToken 是一种无状态的身份验证机制。当用户登录成功后,服务器会生成一个 Token 并返回给客户端,客户端将该 Token 存储在本地
Cookie、SessionTokenJWT区别
刘皇叔说Java的博客
02-07 1129
Cookie和Session是Web应用中常用的身份验证和状态管理机制,而Token则是一种用于身份验证和授权的方法。总的来说,Cookie 和 Session 是 Web 应用中常用的状态管理机制,而 Token 则是一种用于身份验证和授权的方法。它们各自有着不同的优缺点和适用场景,在实际应用中需要根据具体情况进行选择和使用。Cookie、SessionToken 是用于管理用户身份认证和状态跟踪的常见机制。它们在 Web 开发中有不同的作用和用途。
JWT(Json WEB Token)生成以及与session区别
我的目标是CEO,最近小目标是项目架构师!
07-14 815
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接...
sessiontokenJWT区别
qq_26866883的博客
06-30 188
什么是JWT Json web tokenJWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 总结 优点: 因为json的通用性,所以JWT是可以跨语言支持的,像C#,JavaScript,
sessiontokenjwt区别分析
dh554112075的博客
07-08 1492
1.session session不是在浏览器第一次请求时创建,而是在第一次使用时创建(request.getSession())。 最终创建逻辑在org.apache.catalina.connector.Request的doGetSession()方法中,如下代码可以看到,这里会让请求方设置一个cookie:JSESSIONID /* org.apache.catalina.connector.Request doGetSession() 部分代码 */ Cookie cookie = Ap
sessiontoken、cookie、JWT区别一定要懂
weixin_45709829的博客
04-07 5673
一、基本概念 1.1 认证 认证authentication,指的是验证访问者的身份 常见认证方法 用户名密码认证 短信验证码认证 邮箱验证码认证 扫码认证 人脸识别或者其他生物特征识别认证 1.2 授权 授权authorization,指的是用户通过身份认证后,能够访问指定的某些资源 常见授权模型—3种 ACL(Access Control List):ACL中包含用户、资源、资源操作三个关键内容。通过将资源以及资源操作授权给用户,使得用户具有操作某项资源的权限 RBAC(Role-Base
【django项目后台开发】TokenSession区别Token的生成方式(1)
python全栈
05-17 1055
一、什么是JWT Json web token (JWT), 是为了在⽹络应⽤环境间传递声明⽽执⾏的⼀种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适⽤于分布式站点的单点登录(SSO)场景。JWT的声明⼀般被⽤来在身份提供者和服务提供者间传递被认证的⽤户身份信息,以便于从资源服务器获取资源,也可以增加⼀些额外的其它业务逻辑所必须的声明信息,该token也可直接被⽤于认证,也可被加密。 二、token的认证和传统的session认证的区别 1、传统的session认证
详解JWT token心得与使用实例
10-16
JWT(JSON Web Token)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个 JSON 对象。这个信息可以被验证和信任,因为它是数字签名的。JWT token 在现代 web 应用...
thinkphp框架使用JWTtoken的方法详解
01-03
本文实例讲述了thinkphp框架使用JWTtoken的方法。分享给大家供大家参考,具体如下: 简介 一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各...
Cookie、SessionTokenJWT.xmind
01-30
Cookie、SessionTokenJWT.xmind
GWT技术介绍
11-17
GWT技术介绍
jwt_token_test.zip
05-21
Java Web TokenJWT)是一种轻量级的身份验证和授权机制,广泛应用于移动应用与服务器之间的交互。JWT允许在用户身份验证后将权限信息安全地编码为一个字符串,并在客户端和服务端之间传递,无需存储session信息在...
php实现JWT(json web token)鉴权实例详解
01-03
基于token的身份验证可以替代传统的cookie+session身份验证方法。 JWT由三个部分组成:header.payload.signature 以下示例以JWT官网为例 header部分: { alg: HS256, typ: JWT } 对应base64UrlEncode编码为:...
用户认证:基于jwtsession区别和优缺点
weixin_30319097的博客
12-09 1159
背景知识: Authentication和Authorization的区别: Authentication:用户认证,指的是验证用户的身份,例如你希望以小A的身份登录,那么应用程序需要通过用户名和密码确认你真的是小A。 Authorization:授权,指的是确认你的身份之后提供给你权限,例如用户小A可以修改数据,而用户小B只能阅读数据。 由于http协议是无状态的,每一次请求都无状态。当...
JWT——Token认证的两种实现和安全详解
IT狂编师
11-18 1288
前言: 最近因为项目中需要解决跨域取值的问题,所有考虑到用Token认证做技术支撑点,自己看了许多与之相关的文章,从中总结出了以下两个要点(签名和token时间)。在说这两个要点之前先大概简单说一下与之有关的一些问题。 首先,如果你对token认证的知识一点都不了解,那么我觉得这篇文章还不太适合你,因为我在这里不会在把相关的基础知识再说明一遍,因为网上有很多相关的文章,讲的都比较好,我会在文章下边...
JWTToken还有Session区别
wohainengqiao的博客
08-28 1037
引言 会话机制(Session)是用于识别用户身份的方法之一,但是由于需要服务器保存所有人的session id,如果访问服务器多了,就得有成千上万或者几十万个。这对服务器是一个巨大的开销,严重的限制了服务器的拓展能力。因此诞生了token(令牌) JWTToken Token认证流程: 1. 用户输入用户名和密码,发送给服务器。 2. 服务器验证用户名和密码,正确的话就返回一个签名过的tokentoken 可以认为就是个长长的字符串),浏览器客户端拿到这个token。 3. 后续每次请求中,浏览
JWTsession区别
go_forever_happy的博客
10-15 2938
区别 JWTsession最重要的区别是: JWT不需要存储,而是在服务端根据前端传回的token进行解密比对处理 session是在用户登录之后,给浏览器返回一个sessionid,另外在服务器端同时存储sessionid及必要的用户信息,在用户使用cookie把sessionid传回服务端,服务端基于sessionid去数据库查询,若查到则表示用户还在活跃期,同时也可以获取到存储的必要用户信息。 相同点 都需要使用cookie。 ...
GWT Designer是功能强大容易使用的定向GUI
Senton
06-17 6396
Google Web Toolkit 简称GWT。GWT Designer 是功能强大容易使用的定向GUI,开发者可以直观的设计开发或JAVA代码开发,简单的拖拽就能完成你的工作,更改配置就能有更多功能。因此很容易的开发并且立竿见影的效果。GWT Designer 作为Eclipse 3.2(更高版本)的插件,界面以树状显示和管理开发者代码,这种所见既所得的工具。开发者只需要关注JAVA
Elsaticsearch java基本操作
最新发布
qq_62383709的博客
07-13 468
索引 基本操作 package com.orchids.elasticsearch.web.controller; import cn.hutool.core.collection.CollUtil; import cn.hutool.json.JSONUtil; import com.orchids.elasticsearch.web.po.User; import io.swagger.annotations.Api; import io.swagger.annotations.ApiOperatio
JWT相关知识及Cookie, Session,TokenJWT区别总结.pdf
05-31
笔记的最后,作者对Cookie、SessionJWT在网络安全和攻击防御中的关系进行了总结,并对比了它们在不同应用场景中的优缺点,以及从Cookie到JWT的发展趋势和区别。整个系列笔记旨在帮助读者全面理解这四种机制,并在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值