session和jwt区别

最新推荐文章于 2024-04-03 15:31:59 发布
最新推荐文章于 2024-04-03 15:31:59 发布
阅读量1.9k 收藏 4
点赞数
分类专栏: PHP起步

1. session


session和cookie的目的相同,都是为了克服http协议无状态的缺陷,但完成的方法不同。session通过cookie,在客户端保存session id,而将用户的其他会话消息保存在服务端的session对象中,与此相对的,cookie需要将所有信息都保存在客户端。因此cookie存在着一定的安全隐患,例如本地cookie中保存的用户名密码被破译,或cookie被其他网站收集(例如:1. appA主动设置域B cookie,让域B cookie获取;2. XSS,在appA上通过JavaScript获取document.cookie,并传递给自己的appB)。

2. jwt:


jwt 不仅可用于验证用户还可用于 server 间通信验证

传统验证方式(目前大部分网站使用的方式):

现代网页应用验证用户时面临的困难

  1. app server 可能是分布式的, 有很多 server, 在一个 server 上登录了,
    其他的没登陆, 需要额外工具来解决这个问题(sticky sessions)
  2. app 使用 RESTfull api 来获取数据, RESTful api 的原则是 stateless, 但使用 session, 使用 session 和 cookies 会引入 state; 另外, 当 API server 与 app server
    可能是两个 server, 需要 允许 CORS(Cross-Origin Resource Sharing), 但是 cookies 只能在同一个 domain 中使用
  3. app 可能需要下游服务, 每个 server 都要处理 cookie(???)

解决办法: 使用 JWT 方式来验证用户

JWT 方案不使用 session 基于 token.
用户注册之后, 服务器生成一个 JWT token返回给浏览器, 浏览器向服务器请求
数据时将 JWT token 发给服务器, 服务器用 signature 中定义的方式解码
JWT 获取用户信息.

一个 JWT token包含3部分:
1. header: 告诉我们使用的算法和 token 类型
2. Payload: 必须使用 sub key 来指定用户 ID, 还可以包括其他信息
比如 email, username 等.
3. Signature: 用来保证 JWT 的真实性. 可以使用不同算法


1. 和Session方式存储id的差异

Session方式存储用户id的最大弊病在于要占用大量服务器内存,对于较大型应用而言可能还要保存许多的状态。一般而言,大型应用还需要借助一些KV数据库和一系列缓存机制来实现Session的存储。

而JWT方式将用户状态分散到了客户端中,可以明显减轻服务端的内存压力。除了用户id之外,还可以存储其他的和用户相关的信息,例如该用户是否是管理员、用户所在的分桶(见[《你所应该知道的A/B测试基础》一文](/2015/08/27/introduction-to-ab-testing/)等。

虽说JWT方式让服务器有一些计算压力(例如加密、编码和解码),但是这些压力相比磁盘I/O而言或许是半斤八两。具体是否采用,需要在不同场景下用数据说话。

单点登录

Session方式来存储用户id,一开始用户的Session只会存储在一台服务器上。对于有多个子域名的站点,每个子域名至少会对应一台不同的服务器,例如:

  • www.taobao.com
  • nv.taobao.com
  • nz.taobao.com
  • login.taobao.com

所以如果要实现在login.taobao.com登录后,在其他的子域名下依然可以取到Session,这要求我们在多台服务器上同步Session。

使用JWT的方式则没有这个问题的存在,因为用户的状态已经被传送到了客户端。因此,我们只需要将含有JWT的Cookie的domain设置为顶级域名即可,例如

     
     

      
      1
     
     
     
     

      
      Set-Cookie: jwt=lll.zzz.xxx; HttpOnly; 
      
      max-age=
      
      980000; domain=.taobao.com

注意domain必须设置为一个点加顶级域名,即.taobao.com。这样,taobao.com和*.taobao.com就都可以接受到这个Cookie,并获取JWT了。

区别(仔细揣摩)

##1.

 这么基础的问题,居然还是没人说到点子上,最关键的一点是: 
* Session的状态是存储在服务器端,客户端只有session id;而Token的状态是存储在客户端 

其它细枝末节的区别,全部是由这一点造成的。 

就没人想过为什么token-based的authentication需要一堆secret key来干嘛么? 
因为状态信息全部是放在客户端,为了避免被篡改,于是需要用密码学的方法来签名/加密。 

可以自己去这里玩玩JWT的Debugger: 
http://jwt.io/ 
一进去你就会注意到两点: 
1. Token解码后就包含所有登陆信息 
2. Token你随便改一位都会提示无效 

##2.

 
session 和 token 就是个词而已…… 广义来说一切 维护用户状态的技术都是session,一切动态生成的服务端有能力 鉴别真假而本身无涵义的字符串都是token 
JWT对比Session
weixin_45351103的博客
03-31 1450
JWT代替Session1 JWT2 回顾Session2.1 cookie-session会话机制(会话管理)3 Session会话管理存在的问题 1 JWT JWT(JSON Web Token): 是一个开发的标准,用于在各方之间以JSON对象安全地传输信息。这些信息通过数字签名进行验证和授权。可以使用“RSA”的"公钥/私钥对"对JWT进行签名。 2 回顾Session 2.1 cookie-session会话机制(会话管理) HTTP特点:无记忆性,请求响应式。HTTP的无记忆性会产生问题
JWTsession区别
go_forever_happy的博客
10-15 3015
区别 JWTsession最重要的区别是: JWT不需要存储,而是在服务端根据前端传回的token进行解密比对处理 session是在用户登录之后,给浏览器返回一个sessionid,另外在服务器端同时存储sessionid及必要的用户信息,在用户使用cookie把sessionid传回服务端,服务端基于sessionid去数据库查询,若查到则表示用户还在活跃期,同时也可以获取到存储的必要用户信息。 相同点 都需要使用cookie。 ...
jwtsession区别
weixin_58775072的博客
11-03 4824
jwtsession区别总结
JWTSession区别
热门推荐
时光偏执的博客
12-23 1万+
JWT 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的...
sso单点登录的原理详解,及Shiro同时支持SessionJWT Token两种认证方式,和SessionJWT整合方案
阿啄debugIT
08-25 1177
1. 单点登录是什么? 单点登录全称Single Sign On(以下简称SSO),是指在多系统应用群中登录一个系统,便可在其他所有系统中得到授权而无需再次登录,包括单点登录与单点注销两部分。 2. 单点登录的原理 相比于单系统登录,sso需要一个独立的认证中心,只有认证中心能接受用户的用户名密码等安全信息,其他系统不提供登录入口,只接受认证中心的间接授权。间接授权通过令牌实现,sso认证中心验证用户的用户名密码没问题,创建授权令牌,在接下来的跳转过程中,授权令牌作为参数发送给各...
Cookie、SessionJWT的详解
miaozy
04-10 1524
基本概念 认证(Authentication) 验证当前用户的身份 授权(Authorization) 用户授予第三方应用访问该用户资源的权限(session, cookie, token, OAuth) 凭证(Credentials) 实现认证和授权的媒介 由于 http 是无状态的协议,每个请求是独立的,服务端无法确认当前请求者的身份,因此为了实现服务器和浏览器的会话跟踪,就需要使用 c...
cookie-sessionJWT的比较
a_369488977的博客
11-02 228
1.1cookie原理: 用户名+密码   ·cookie是保存在用户浏览器端,用户名和密码等明文信息    1.2session使用原理   session是存储在服务器端的一段字符串,相当于字典的key   1.用户向服务器发送用户名和密码。   2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。   3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。   4.用户的每个后续请求...
JWT相关知识及Cookie, Session,Token和JWT区别总结.pdf
05-31
总结来说,Cookie、SessionJWT都是处理身份验证和会话管理的方式,各有优劣。Cookie适合简单的Web应用,Session适用于需要服务器保持状态的场景,而JWT则在分布式系统和无状态认证中表现出色。理解它们之间的差异...
Spring Session 整合 JWT Token
pomer_huang的博客
12-07 5281
依赖库 pom.xml <dependency> <groupId>org.springframework.session</groupId> <artifactId>spring-session-data-redis</artifactId> <version>1.3.1.RELEASE</version>
sessionjwt区别 @by_TWJ
u010101252的博客
03-28 1474
基于session,用户信息存放在session里,在分布式下,是需要使用一个数据库(redis)存放共用的session信息的。,我觉得session会更优,因为我可以管理用户登录状态,我让他下线就下线。,我觉得jwt更优,这样jwt可以不用扩展搞redis,而且不用在服务端存放用户登录信息,减少了服务器使用内存,减少成本。jwt 存放在客户端本地,基于本地,但也可以存放在cookie等,可以自定义。基于jwt,因为用户信息都在jwtToken里,所以直接解析就能获取用户信息。jwt 有两个很关键的点,
用户认证:sessionJWT区别
weixin_39307273的博客
08-14 4590
背景知识: Authentication和Authorization的区别: Authentication:用户认证,指的是验证用户的身份,例如你希望以小A的身份登录,那么应用程序需要通过用户名和密码确认你真的是小A。 Authorization:授权,指的是确认你的身份之后提供给你权限,例如用户小A可以修改数据,而用户小B只能阅读数据。 由于http协议是无状态的,每一次请求都无状态。当一个用户通过用户名和密码登录了之后,他的下一个请求不会携带任何状态,应用程序无法知道他的身份,那就必须重新认证。
面试官:SessionJWT有什么区别
最新发布
磊哥聊Java
04-03 1188
本文内容已收录至我的面试网站:www.javacn.siteSessionJWT(JSON Web Token)都是用于在用户和服务器之间建立认证状态的机制,但它们在工作原理、存储方式和安全性等方面存在着一些差异,下面我们一起来看。1.什么是JWTSession 我们已经很熟悉了,那什么是 JWT 呢?JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络上安...
jwt和传统session区别
s_156的博客
05-19 913
jwt和传统session区别? 传统的session认证 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。 5、服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。 基于session认证所显露的问题。 这种模式的问题在于,扩展性(
JWT(一):JWT与seesion对比
INNNNNK的博客
04-07 839
JWT原理及实现 一、JWT是什么 JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally
JWTSession的比较
黑马程序员广州中心的专栏
05-05 395
JWTSession的比较 如今,越来越多的项目开始采用JWT作为认证授权机制,那么它和之前的Session究竟有什么区别呢?今天就让我们来了解一下。JWT是什么定义 JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑和自包含的方式,用于在各方之间作为JSON对象安全地传输信息。作为标准,它没有提供技术实现,但是大部分的语言平台都有按照它规定的...
JWT的认识和session区别
顽强的小白的博客
11-22 335
1.前后端分离框架中前端和后端域名不同,不能跨域请求,加上移动端无cookie,所以无法使用session. 2.基于token的认证和传统的session认证的区别: 传统的session认证: 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪...
sessionjwt
Az201706的博客
09-16 353
sessionjwt
cookie和sessionjwt
09-01
Cookie和SessionJWT都是用于在Web应用程序中存储和验证用户身份的机制。 Cookie是在服务器生成后发送给浏览器存储的一小段文本信息。它可以包含用户身份验证信息或其他需要在不同请求之间保持状态的数据。Cookie...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值