JWT和token的区别及优缺点

最新推荐文章于 2024-05-29 14:58:13 发布
最新推荐文章于 2024-05-29 14:58:13 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: node 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kymengfw/article/details/124868717
版权

JWT和token的区别及优缺点

TOKEN

概念: 令牌, 是访问资源的凭证。

1、Token的认证流程:

  1. 用户输入用户名和密码,发送给服务器。

  1. 服务器验证用户名和密码,正确的话就返回给客户端一个签名过的token。

  2. 浏览器客户端拿到这个token,存储到cookie或者localStorage中。

  3. 客户端后续每次请求中,会在 header中携带token发送给服务器。

  4. 服务器器验证token并解析出用户ID等相关信息,通过调取数据库信息比对,如果有效那么认证就成功,可以返回客户端需要的数据,无效则返回错误信息引导客户端跳转到登陆页面。

2、Token的优点:

1.可以隐藏真实数据

2.适用于分布式或微服务

3.安全系数高

3、Token缺点:

1、需要解析后,调用数据库比对来验证,浪费服务器资源

2、内存级别重启全部失效

3、时效性,无法失效,被非法获取后可以一直使用

4、集群部署,多台服务器无法共享,负载会导致用户状态不同步

JWT

1、概念:

JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。

2、组成:

WT包含三个部分: Header头部,Payload负载和Signature签名。由三部分生成token,三部分之间用“.”号做分割。 列如 :

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

  1. Header

    在Header中通常包含了两部分:

    1. type:代表token的类型,这里使用的是JWT类型。

    2. alg:使用的Hash算法,例如HMAC SHA256或RSA.

    例如:

    { "alg": "HS256", "typ": "JWT" } 这会被经过base64Url编码形成第一部分

  1. Payload

    token的第二个部分是荷载信息,它包含一些声明Claim(实体的描述,通常是一个User信息,还包括一些其他的元数据) 声明分三类:

    (1)Reserved Claims,这是一套预定义的声明,并不是必须的,这是一套易于使用、操作性强的声明。包括:iss(issuer)、exp(expiration time)、sub(subject)、aud(audience)等

    (2)Plubic Claims, 公共的声明

    (3)Private Claims,私有的声明,即交换信息的双方自定义的声明

    例如:

    { "sub": "1234567890", "name": "John Doe", "admin": true } 同样经过Base64Url编码后形成第二部分

  1. signature

    是一个签证信息。使用header中指定的算法将编码后的header、编码后的payload、一个secret进行加密。 例如:

    使用的是HMAC SHA256算法,大致流程类似于:

    HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

    这个signature字段被用来确认JWT信息的发送者是谁,并保证信息没有被修改 。

这三部分连接成一个完整的字符串,构成了最终的jwt

例如下面这个例子:

现在有一个接口/viptest只能是vip用户访问,我们看看服务端如何根据Token判断用户是否有效。

普通token版:

  1. 查库判断是否过期

  1. 查库判断时候是VIP

JWT 版本:

假如payload部分如下:

{

"exp": 1518624000,

"isVip": true,

"uid":1

}

  1. 解析JWT

  1. 判断签名是否正确,根据生成签名时使用的密钥和加密算法,只要这一步过了就说明是payload是可信的

  1. 判断JWT token是否过期,根据exp,判断是否是VIP,根据isVip

从以上不难看出:JWT版是没有查库的,他所需要的基础信息可以直接放到JWT里,服务端只要判断签名是否正确就可以判断出该用户是否可以访问该接口,当然JWT里的内容也不是无限多的,其他更多的信息我们就可以通过id去查数据库

3、优点:

1.无需服务器端存放数据,减轻服务器端的压力

2.占用带宽比较小、跨语言

3.token自身包含用户信息且无法篡改,在服务(网关)中可以自行解析校验出用户信息,对认证服务器(account-svc)压力小

4、缺点:

1.建议不要放铭感数据 userid、手机号码(如果非要放userId,deptId等信息,可采用rsa256算法加密)RSA256生成Jwt

2.Jwt生成之后无法修改(发生变化)

3.后端无法统计 生成jwt

4.无法吊销令牌,只能等待令牌自身过期

5.令牌长度与其包含用户信息多少正相关,传输开销较大

6.Jwt是无状态的,如果别人获取到了,别人也能用

结论:

对于使用token还是jwt,就要针对具体使用情况而定,最为科学。觉得我个人总结不错的话,可以添加收藏哦!

HuLuWa_LiHaiBa
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TokenJWT区别
xiaoyaGrace的博客
12-27 623
服务端验证客户端发送的token信息要进行数据的查询操作Jwt验证客户端发来的token就不用,在服务端使用密钥校验就可以了,不用数据库的查询。 Token需要查库验证token 是否有效,而JWT不用查库或者少查库,直接在服务端进行校验,并且不用查库。因为用户的信息及加密信息在第二部分payload和第三部分签证中已经生成,只要在服务端进行校验就行,并且校验也是JWT自己实现的。 ...
JWTtoken的理解以及优缺点实战结果来啦
dageliuqing的博客
10-30 730
将签名部分使用秘钥进行解密,如果可以正常解开,说明令牌来自信任方颁发,将解密后的内容与JWT的头部和有效载荷的base64编码内容对比是否一致,如果一致,说明令牌未被篡改。对于第一个问题而言,确认token确实是由被信任的第三方颁发的,一般都是通过加密算法来建立信任,颁发时使用密钥进行加密,如果能够对加密内容进行正常解密说明token来自信任方。对称可逆加密效率高,速度快,但是由于对称可逆加密使用的是同一个秘钥,所以必须向解密的应用提供秘钥,相对而言不安全,所以一般只用于内部应用之间。
普通令牌tokenjwt令牌token区别以及使用场景
西京刀客
08-26 8573
文章目录token分类普通令牌JWT令牌 token分类 SpringSecurityOauth2令牌 参考URL: https://www.yuque.com/gaoxi-dj1fr/fxgaxe/ivvpqc 1.普通令牌的作用:唯一标识存贮在数据库或内存中的用户信息,在认证时,SpringSecurity拿着普通令牌去数据库中查询用户信息使用 2.jwt令牌的作用:jwt令牌中本身存储着用户信息,在认证时,SpringSecurity从jwt令牌中解析出用户信息即可,不需要借助数据库等进行存储 普通令
jwttoken区别
编程技术提升
09-07 4734
需要注意的是,无论是Token还是JWT,都需要注意安全性,例如使用HTTPS来保证传输过程的安全性,以及适当地设置TokenJWT的过期时间,避免被恶意使用。而一般的Token没有这种机制,只能通过验证Token的合法性来确保安全性。JWT是无状态的,即服务端不需要保存任何用户信息,只需验证JWT的签名即可。总的来说,JWT是一种更安全、更灵活、更轻量级的身份验证机制,适用于分布式系统和无状态的API。JWT可以存储更多的信息,例如用户的角色、权限等,而一般的Token只能存储有限的信息。
Token验证流程、代码示例、优缺点安全策略,一文告诉你。
最新发布
贝格前端工场的博客
05-29 1602
Token是一种用于身份验证和授权的令牌,通常用于在客户端和服务器之间进行安全的通信。在Web开发中,Token通常指的是JSON Web TokenJWT),它是一种开放标准(RFC 7519),定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。JWT通常由三部分组成,通过句点(.)分隔开来:1包含了Token的类型和使用的加密算法等信息。2.包含了要传输的信息,例如用户的身份信息、权限等。
tokenjwt区别
热门推荐
m0_51212267的博客
11-15 2万+
相同:tokenjwt都是用来访问资源的令牌凭证,需要验证来确定身份信息 token的验证机制流程: 1.用户输入账户和密码请求服务器 2.服务器验证用户信息,返回用户一个token值 .客户端存储token值,在每次请求都提交token值 4.服务器根据token验证用户信息,验证通过后返回请求结果 token必须要在每次请求时传递给服务端,都保存在header中 缺点: 1.内存级别重启全部失效 2.时效性,无法失效,被非法获取之后可以一直使用 3.集群部署,多台服务器无法共享,在
tokenJWT token区别、登录安全、页面权限、数据权限、单点登录
感冒石头的博客
09-27 4288
包括:iss(issuer)、exp(expiration time)、sub(subject)、aud(audience)等 2)Plubic Claims, 3)Private Claims,交换信息的双方自定义的声明 { "sub": "1234567890", "name": "John Doe", "admin": true } 同样经过Base64Url编码后形成第二部分。{ "alg": "HS256", "typ": "JWT" } 这会被经过base64Url编码形成第一部分。
JWTtoken区别
赛赛
06-24 2460
JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证
tokenjwt存在什么区别
qq_65951398的博客
05-30 1046
JWT是一种具体的令牌实现标准,它是一种基于JSON的开放标准(RFC 7519),用于在不同实体之间安全地传输信息。头部包含令牌的类型和加密算法等元数据信息,载荷包含自定义的声明信息,如用户ID、角色等,签名用于验证令牌的完整性和真实性。一些普通的令牌(如简单的访问令牌)可能不具备这种内置的安全性保护,需要额外的机制来验证令牌的有效性。需要注意的是,JWT是一种特定的令牌实现,但并不是唯一的选择。技术标准:Token是一个广义的术语,而JWT是一个具体的标准,定义了令牌的结构和使用方式。
基于springboot+jwt实现刷新token过程解析
08-19
本文主要介绍了基于SpringBoot和JWT实现刷新Token的过程解析,旨在帮助读者更好地理解Token的刷新机制和实现方式。 描述解析 文中通过示例代码详细介绍了基于SpringBoot+JWT实现刷新Token的过程,旨在为读者提供...
JWT相关知识及Cookie, Session,TokenJWT区别总结.pdf
05-31
JWT与传统Token的主要区别在于JWT是自包含的,不需要额外查询数据库验证,而传统Token通常需要。 总结来说,Cookie、Session和JWT都是处理身份验证和会话管理的方式,各有优劣。Cookie适合简单的Web应用,Session...
JWT(Json Web Token)Java实现jar
04-18
JSON Web TokenJWT)是一种广泛使用的轻量级身份验证和授权机制,主要应用于Web应用程序和服务之间的安全通信。JWT通过在客户端和服务器之间传递令牌来携带信息,这些信息经过签名,可以确保数据的完整性和不可...
jwt在线解密网站,可用于jwt的解码
03-10
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。...在设计系统时,应综合考虑使用session和JWT优缺点,根据实际需求进行选择。
详解用JWT对SpringCloud进行认证和鉴权
08-26
本文主要介绍了使用JSON WEB TOKENJWT)对SpringCloud进行认证和鉴权的详细过程。JWT是一种基于RFC 7519标准定义的可以安全传输的小巧和自包含的JSON对象。由于数据是使用数字签名的,所以是可信任的和安全的。 ...
jwttoken区别
lied1663634806的博客
03-27 752
jwttoken区别
传统tokenJwt区别优缺点
qq_41369135的博客
05-08 4172
一、传统token 例子:传统token登陆过程 前端点击登陆,服务器验证账号密码成功 服务器生成令牌,本质是一个32位的uuid 将该令牌存到数据库或redis中,key是uuid,value是userId 把令牌返给客户端,客户端把令牌存在cookie中。 下次请求的时候就把令牌放在请求头里带上 从redis中验证该令牌是否过期 获取value内容userId 根据userId查询用户信息,再返回客户端 传统toke.
一篇了解什么是Token、什么是Jwt
做点有意思的事情
12-25 2775
Token是访问资源接口(API)时所需要的资源凭证,也成为令牌传统的Token令牌userId(用户信息)将该token存放到Redis中,返回对应的Token返回给客户端。客户端每次访问后端请求的时候,会传递该token在请求中 (可以作为请求头传递,或者请求路径传递等),服务器端接收到该token之后,从redis中查询如果存在的情况下,则说明在有效期内,如果在Redis中不存在的情况下,则说明过期或者token错误。JWT的全称是,是一种流行的跨域认证解决方案。它将用户信息加密到。
JWTtoken区别
guan_xfeng的博客
05-04 3153
什么是token token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。 当用户第一次登录后,服务器生成一个token并将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。 token可以存到数据库中,但是有可能查询token的时间会过长导致token丢失.为了避免查询时间过长,可以将token放到内存中。这样查询速度非常快,也不用担心占据内存,就算token是一个32位的字符串,应用的用户量在百万级或者千万级,也是占不了多少
jwt和csrf token的关系和优缺点
06-12
JWT(JSON Web Token)和 CSRF token(Cross-Site Request Forgery token)都是常见的安全机制,但它们的作用有所不同。 - JWT 主要用于认证和授权,它是一种基于 JSON 的开放标准,用于在客户端和服务器之间传递安全声明。JWT 通常包含用户身份信息、访问权限等信息,用于验证用户身份和控制用户权限,从而保证数据的安全性和完整性。 - CSRF token 主要用于防止跨站点请求伪造攻击,它是一种随机生成的 token,用于验证用户提交的请求是否合法。CSRF token 通常存储在用户的会话中,当用户提交表单或发出请求时,服务器会将 token 作为隐藏表单字段或请求头信息返回给客户端,客户端再将其作为表单提交或请求头信息一起发送到服务器端进行验证。 它们的优缺点如下: - JWT 的优点是可以在多个应用程序之间共享,由于 JWT 包含了用户身份信息和访问权限等信息,因此可以减少对服务器的重复查询和验证,提高应用程序的性能。但是,如果 JWT 被劫持或篡改,那么攻击者就可以冒充用户进行访问,造成安全风险。 - CSRF token 的优点是可以有效防止跨站点请求伪造攻击,保证用户提交的请求都是合法的,从而保护用户的安全。但是,CSRF token 需要将 token 存储在用户的会话中,如果会话被劫持或泄露,那么攻击者就可以使用该 token 进行攻击,造成安全风险。 综上所述,JWT 和 CSRF token 都是常见的安全机制,应用场景不同,具有各自的优缺点。在实际开发中,应根据具体场景选择合适的安全机制,以保证应用程序的安全性和稳定性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值