不要盲目使用新技术,说的就是你,JWT!

最新推荐文章于 2024-02-05 14:20:58 发布
最新推荐文章于 2024-02-05 14:20:58 发布
阅读量166 收藏
点赞数
分类专栏: 面试 Java 架构 文章标签: java cookie 数据库 python session
原文链接:https://www.jianshu.com/p/225a476f5a8
版权
面试 同时被 3 个专栏收录
1314 篇文章 14 订阅
订阅专栏
Java
1265 篇文章 4 订阅
订阅专栏
架构
1200 篇文章 1 订阅
订阅专栏

其实我更想聊标题的前半部分,后半部分只是拉出来做典型的。

简历上写上一句,“热衷于学习新技术”,孬管是不是真的,至少加分项是可以有的。

再看看标题,我是来搞笑的?

学习与使用,两回事
学习侧重于新技术的HOW、WHAT、Where(其实实际过程中很多时候后两个是忽略的)
使用侧重于。。。。。填坑!
开始我们的主题

标题写的,为什么?

在我看来
除非你是真的知道新技术到底解决了怎样的问题
除非你很清楚新技术有什么优点和缺点
或者至少你要知道新技术是用于什么场景的
你再用新技术也不迟,否则,就慢慢填坑!
否则,就是为了时髦买了条带洞的内裤却发现洞的位置不对还得再买一条正常的内裤!

JWT,拉出来当典型

为了避免被喷成筛子,三连划重点

JWT本身没有错!
JWT本身没有错!
JWT本身没有错!

无状态没有错!
无状态没有错!
无状态没有错!

我们聊的JWT对标的是 Session ,不是 Cookie
我们聊的JWT对标的是 Session ,不是 Cookie
我们聊的JWT对标的是 Session ,不是 Cookie

错的是什么?是盲目使用
在座各位有多少人能准确回答出上一节的三个问题?

  1. 你真的知道JWT到底解决了怎样的问题?
  2. 你很清楚JWT有什么优点和缺点?
  3. 你知道JWT是用于什么场景的?

给自己一个靠谱的答案,你为什么要用JWT?
我百度谷歌搜索了一下,发现用 JWT 的文章真的是少数,用 Identity 和 Session 的文章很多,这超出了我的预料
为什么身边的项目包括群友公司的项目全是 JWT?

JWT 与登录

JWT 的核心是无状态、自验证、无中央服务器,有超时时间等机制,我们所实现的登录功能,本质上是一个状态保持的机制,要保持,就会有断开的需求,JWT 能实现断开吗?不能。
JWT 的核心应用场景根本不是状态保持!
https://www.baidu.com/s?wd=jwt会话保持&rsv_spt=1&rsv_iqid=0x9d65b70000004423&issp=1&f=8&rsv_bp=1&rsv_idx=2&ie=utf-8&tn=baiduhome_pg&rsv_enter=1&rsv_dl=tb&rsv_sug3=11&rsv_sug1=10&rsv_sug7=100&sug=jwt%E4%BC%9A%E8%AF%9D%E4%BF%9D%E6%8C%81%20%E5%88%B7%E6%96%B0&rsv_n=1&rsv_t=576d%2BK65G9Uk60klbPpQEAyfnAnSKdDcE476BRPqSajtXpQkE0rXpLQDtHtdE8AvX51v&rsv_sug2=0&rsv_btype=i&inputT=4864&rsv_sug4=4864

百度早已有了不要用JWT做状态保持的文章,这根本就不是一回事!

JWT 的核心在于不需要中央服务器的验证,它可没说验证状态要保持啊。是的,超时时间的机制确实很像状态保持,但是因为 JWT 无状态的特性,它难以实现状态保持的完整功能。
比如说,我想续期,怎么办?

有的同学说了,旧KEY作废发个新KEY,作废的KEY保存在内存当中

你这和“我为了潮流买了个有洞的内裤结果发现外面还得再套一个内裤才不冷”有啥区别呢?
没错,这位同学的方案就是大家的方案,可是,这么明显的问题(不是JWT的问题),你为什么还要坚持JWT?
坚持JWT的重点就是无状态,然而作废的KEY保存在内存中不就又回到了有状态吗?你为什么还要坚持JWT?

大哥们推荐JWT的理由

我所知道的理由如下。无状态这条就不用说了:

  1. 不走 Cookie,移动端没有 Cookie
  2. 比 Cookie 更安全,CSRF攻击

这两条都有一个相同的问题,不用 JWT 就非得用 Cookie?
JWT 对标的解决方案是 Session,不是 Cookie
有人说 Session 就是基于 Cookie 的。
那么,Cookie 是基于什么的?基于 HTTP 头的
JWT呢?不还是 HTTP 头吗?
都是从头里读的,我改一下不从 Cookie 字段读不就行了?
有人又说,这不麻烦啊,现成的JWT方案很多,拿过来就用。
那么,出问题的时候你是加班到十点还是第二天第一个人打卡?
再者,Session 不见得没有方案,老外那帮人天天可是闲得慌。

JWT 的应用场景

这么说,JWT是。。。。废物?
哎别喷我啊你看完再喷呀。。。。。

我一直在找 JWT 的应用场景,但是除了三高(高并发、大数据、高可用)场景之外,我是真没找到合适的。。。
但是谷歌还是有大神,有位大神表示下面这个场景适用于 JWT

邮箱链接验证

这功能大家都知道,向用户邮箱发个链接,要求这个链接在5分钟之内点击来验证邮箱有效性,这个场景用 JWT 再适合不过了,量身定作的。

其他的,我是真不知道有啥场景。

不要再一切皆 JWT了

JWT 本身没有错,错在所有的项目全是 JWT。
JWT 场景之一是用于解决用户量并发量较大时,中央服务器无法及时响应请求的问题,Redis 在数据量达到一定程度后,QPS会大幅度降低,可是,这个量级是多少?至少几百万起步吧,我没试过。

各位看官你先把你的项目的日活用户量搞到几百万再说好不好,日活几百万距离几百万并发还差得远呢。

 

mrchaochao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot-jwt:使用JSON Web令牌(JWT)保护REST API的示例Springboot应用程序。 有关与Angular(版本2+)集成的示例,请访问https
05-26
springboot-jwt 使用JSON Web令牌(JWT)保护REST API的示例Spring Boot应用程序 此应用程序可用作启动具有完整功能的安全模块的Spring Boot REST API项目的种子。 主要组成部分 Spring Boot 1.5.3.RELEASE转到了解有关Spring Boot的更多信息 JSON Web令牌转到解码生成的令牌并了解更多信息 H2数据库引擎-用于快速原型开发和开发,但至少在大多数情况下不适用于生产。 请访问了解更多信息 运行应用程序 使用运行Spring Boot应用程序的几种方法之一。 以下是三个选项: 使用Maven目标进行构建: mvn clean package并执行以下生成的工件,如下所示: java -jar springboot-jwt-0.0.1-SNAPSHOT.jar或 在基于Unix / Linux的系统上:运
你管这破玩意儿叫 Token?
weixin_41385912的博客
05-17 693
上周我们在团队内部首次采用了 jwt(Json Web Token) token 这种 no-session 的方式来作用户的账号验证,发现网上很多文章对 token 的介绍有误,所以对 ...
关于使用JWT我的一些建议及避坑指南(非必须建议别用)
wh445306
01-09 7418
关于jwt的一些不足之处,可以参考这里:(译)别再使用 JWT 作为 Session 系统!问题重重且很危险。 JWT存在的意义是什么?很显然就是去中心化,无状态化!这是他存在的核心意义和价值,除去这两点JWT可以是一无是处! 如果你尝试使用jwt构建session方案,我直接告诉你,赶紧放弃!越早越好!会玩死你,JWT在作为session时, 最大的痛苦就是自动续期和指定失效2个方面是致命伤。而且无解! 最重要的,不要考虑在服务器维护 JWT,比如在服务端维护一个 token...
JWT优缺点及应用介绍
码农的日常收集
06-06 1517
JWT,全称是JSON Web Token,是一种规范化的 token,能解决分布式部署会话问题。 JWT是一个很长的字符串,字符之间通过"."分隔符分为三个子串:JWT头,有效载荷,签名。 默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息,以防止信息泄露。有效载荷这个JSON对象也使用Base64 URL算法转换为字符串保存。...
JWT基础
trouble is a friend
10-13 500
参考:JWT——概念、认证流程、结构、使用JWT_Guizy-CSDN博客 一、什么是JWT JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。 二、JWT能做什么? 1、授权 这是使用JWT的最常见方案。一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该令牌允许的路由,服务和资源。单点登录是当今广泛使用JWT的一项功能,因为它的开销很小并且可以在不.
基于JWT.NET的使用(详解)
08-28
下面小编就为大家分享一篇基于JWT.NET的使用详解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
在SpringBoot中使用JWT的实现方法
08-26
主要介绍了在SpringBoot中使用JWT的实现方法,详细的介绍了什么是JWTJWT实战,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Django rest framework jwt使用方法详解
09-18
主要介绍了Django rest framework jwt使用方法详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
ThinkPHP5框架中使用JWT的方法示例
12-17
本文实例讲述了ThinkPHP5框架中使用JWT的方法。分享给大家供大家参考,具体如下: JWT下载地址:https://jwt.io 可以直接去github上下载,也可以使用composer 使用composer的话要确保你的电脑上安装了composer,进入...
thinkphp框架使用JWTtoken的方法详解
01-03
本文实例讲述了thinkphp框架使用JWTtoken的方法。分享给大家供大家参考,具体如下: 简介 一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各...
理解JWT鉴权的应用场景及使用建议
good7ob的博客
10-05 213
JWT(JSON Web Token)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式来安全地在不同实体之间传输信息。JWT通常用于身份验证和鉴权,它由三个部分组成:头部(Header)、负载(Payload)和签名(Signature)。
OAuth2与JWT的区别JWT的适用场景及好处(九)
FAIRYTAIL的博客
08-28 6603
什么是jwtjwt相对于oauth2和session的好处
JWT的优缺点,为什么不建议使用JWT
最新发布
d932385747的博客
02-05 558
JSON Web Token(JWT)是一种用于在网络上传输信息的开放标准(RFC 7519)。它通过使用 JSON 对象将声明进行编码,可以被用来在用户和服务之间传递安全的、经过签名的信息。尽管JWT在某些场景下很有用,但也存在一些优缺点,其中一些原因可能导致不建议使用JWT
Java工具】JWT基本操作(它的定位挺尴尬的,估计以后很少用到)
tangxz的博客
07-11 239
JWT主要用于保证前后端交互的安全,在服务器记录这个用户的信息(内存),前端每次请求后端都需要带上这个token数据(cookie或者localStorage等客户端缓存工具)。 然后拦截器,拦截、验证。 它有个弊端,就是无法删除。在注销用户时需要用额外的方法进行删除、比如各种花里胡哨的逻辑删除、使用时存redis或者数据库,然后进行删除。 依赖依赖 <!--引入jwt--> <dependency> <groupId>com.auth0</groupId&
JWT使用场景和优缺点,你都清楚吗?小知
IT1124的博客
12-14 1393
正文如下,如果觉得有用欢迎点赞、关注~~ 前言 前面简单介绍了JWT的基础,但是对于JWT的应用场景和优缺点掌握的还够,这些东西只有自己实践过才能搞清楚其中的细节。在网上看到一个大佬对这块讲的比较好,就转载过来一起学习下。 编码,签名,加密 这些基础知识简单地介绍下,千万别搞混了三个概念。在 jwt 中恰好同时涉及了这三个概念,这里用大白话来做下通俗的讲解。 编码(encode)和解码(decode) 一般编码解码是为了方便以字节的方式表示数据,便于存储和网络传输。整个 jwt 串会被置于 ht
JWT常用的几种应用场景
Lin_Bolun的博客
01-17 1171
正常的JWT是不涉及服务端存储的,完全靠算法校验token是否有效 当然想要实现某些进阶的控制或校验,就需要搭配一些其他的技术栈实现 比如用户退出登录,要作废某个token,像这样的场景就需要在服务端保存一个token的黑名单 把作废的token保存到黑名单里,后续每一次请求进来,先去黑名单里找一下,如果在黑名单里就拒绝此次请求。 至于保存的黑名单是使用redis还是其他的存储都是可以的 实现异地登录退出就是要结合请求的IP或设备识别号一起生成token,然后保存userid 和 token..
JWT的原理及实际应用
liaozhixiangjava的博客
10-13 660
定义:JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案JWT官网由于HTTP协议是无状态的,这意味着如果我们想判定一个接口是否被认证后访问,就需要借助cookie或者session会话机制进行判定,但是由于现在的系统架构大部分都不止一台服务器,此时又要借助数据库或者全局缓存 做存储,这种方案显然受限太多。
为什么不推荐用JWT保护你的Web应用
weixin_34060741的博客
05-08 5961
2019独角兽企业重金招聘Python工程师标准>>> ...
JWT的优缺点
会飞的猪
07-17 1392
1.非高并发系统不建议使用JWT,可采用redis缓存机制,或者session、redis机制,开发成本低、易维护、安全性强。1.无需依赖数据库、Redis等中间件,token自带加密用户、权限信息等,后端直接解析即可获取;2.token过长,在前端页面交互跳转时会遇到token过长无法被传递;1.内网段,作为基础公共服务支撑对外系统输出能力,且要求承载一定并发量;3.安全性差,可解密出用户权限信息,如需解决,需要另外进行加密处理;2.token自带有效期,后端无需存储维护,只需校验;
java 使用jwt
09-03
Java使用JWT,你可以通过使用不同的开发语言实现JWT标准。Java中推荐使用JWT实现库是java-jwt。你可以使用Maven导入java-jwt库,并使用相应的代码生成加密的Token。例如,可以使用JWT.create()函数设置过期...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值