传统token与Jwt区别及优缺点

最新推荐文章于 2024-07-02 23:17:06 发布
最新推荐文章于 2024-07-02 23:17:06 发布
阅读量4.1k 收藏 23
点赞数 7
分类专栏: token/session/cookie 文章标签: jwt java redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41369135/article/details/116530607
版权
本文探讨了传统token和JWT(JSON Web Token)在身份验证中的使用。传统token方式涉及服务器存储、验证和效率问题,而JWT则通过自包含信息、无需服务器存储来减轻压力,但其不可修改性和安全风险也是关注点。两种方式各有优缺点,适用于不同的应用场景。
摘要由CSDN通过智能技术生成

一、传统token

 

例子:传统token登陆过程

  1. 前端点击登陆,服务器验证账号密码成功

  2. 服务器生成令牌,本质是一个32位的uuid

  3. 将该令牌存到数据库或redis中,key是uuid,value是userId

  4. 把令牌返给客户端,客户端把令牌存在cookie中。

  5. 下次请求的时候就把令牌放在请求头里带上

  6. 从redis中验证该令牌是否过期

  7. 获取value内容userId

  8. 根据userId查询用户信息,再返回客户端

传统token优缺点

优点:

  1. 可以隐藏真实数据

  2. 适用于分布式/微服务

  3. 安全系数高

缺点:

  1. 存放在redis,必须依赖服务器,暂用服务器资源

  2. 效率非常低

 

二、JWT

例子:JWT登陆过程

Jwt优缺点有那些

优点:

  1. 无需服务器端存放数据,减轻服务器端的压力

  2. 占用带宽比较小、跨语言

  3. token自身包含用户信息且无法篡改,在服务(网关)中可以自行解析校验出用户信息,对认证服务器(account-svc)压力小

缺点:

  1. 建议不要放铭感数据 userid、手机号码(如果非要放userId,deptId等信息,可采用rsa256算法加密)RSA256生成Jwt

  2. Jwt生成之后无法修改(发生变化)

  3. 后端无法统计 生成jwt

  4. 无法吊销令牌,只能等待令牌自身过期

  5. 令牌长度与其包含用户信息多少正相关,传输开销较大

  6. Jwt是无状态的,如果别人获取到了,别人也能用

qq_41369135
关注
  • 7
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
一次搞明白 Session、Cookie、Token,面试问题全搞定.pdf
04-18
一次搞明白 Session、Cookie、Token,面试问题全搞定.pdf 面试中的问题一站式全搞定 在也不用头疼面试官的问题了。
JWT相关知识及Cookie, Session,TokenJWT区别总结.pdf
05-31
JWT传统Token的主要区别在于JWT是自包含的,不需要额外查询数据库验证,而传统Token通常需要。 总结来说,Cookie、Session和JWT都是处理身份验证和会话管理的方式,各有优劣。Cookie适合简单的Web应用,Session...
JWT登录凭证和TOKEN登录凭证对比
bihaiyanyu的专栏
11-18 1508
前几天新搭一个项目框架,在用户登录凭证选择上纠结了好久。之前我一直用的redis+token认证方式,这种方式感觉灵活也方便,然后同事说应该用JWT令牌方式,现在比较火。然后一场针对怎么选,选什么好的辩论展开了。针对这种技术选型的讨论,我觉得还挺有意思的,其实还是那句话:没有最好的方案,也不存在哪个更好,只是针对不同应用场景有做出合适的选择,那就是最好的。以下是我个人对tokenJWT的对比理解: 共同点 两者都可以携带用户信息 都是访问资源的令牌 都是使服务端无状态化 都是只有验证成功后,客户端才能访
tokenJWT token区别、登录安全、页面权限、数据权限、单点登录
感冒石头的博客
09-27 4288
包括:iss(issuer)、exp(expiration time)、sub(subject)、aud(audience)等 2)Plubic Claims, 3)Private Claims,交换信息的双方自定义的声明 { "sub": "1234567890", "name": "John Doe", "admin": true } 同样经过Base64Url编码后形成第二部分。{ "alg": "HS256", "typ": "JWT" } 这会被经过base64Url编码形成第一部分。
用户是否登录验证 token生成(jwt和uuid) ,最优拦截器
最新发布
qq_53433105的博客
07-02 775
JWT(json web token),它并不是一个具体的技术实现,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT规定了数据传输的结构,一串完整的JWT由三段落组成,每个段落用英文句号连接(.)连接,他们分别是:Header、Payload、Signature,所以,常规的JWT内容格式是这样的:AAA.BBB.CCC。
Session、TokenJwt区别和优劣
ZHI_YUE的博客
12-20 565
当签发的 jwt 保存在客户端,客户端一直在操作页面,按道理应该一直为客户端续长有效时间,否则当 jwt有效期到了就会导致用户需要重新登录。4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。*通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。5、服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。如果存在,表示验证通过,如果不存在,告诉浏览器跳转到登录页面,流程结束。便于传输,JWT结构简单,字节占用小。
JWT相关面试题
qq_19703557的博客
09-02 335
记录遇到的面试题,持续更新
JWT面试题
maotou526的博客
05-11 2446
一、JWT出现的原因 1.1 http无状态协议 http是无状态的协议,也就是说当客户端发来请求时,服务端并不清楚该请求是哪台主机发出的,因此需要有一种识别和鉴定机制来实现这一需求 1.2 传统上是采用给用户分配唯一session_id的方式实现这一需求 1)客户端登录成功后,服务器会给每一台主机分配一个唯一的session_id,用来区分他们,除了存入服务器的缓存,数据库或者内存中,还会把这个session_id返回给相应的主机, 2)主机收到session_id后会存入cookie中,以后主机的每一次
JWTToken
qq_52988578的博客
08-16 430
JWT (JSON Web Token) 和 Token 都是用来在用户和服务器之间传输信息的机制。但它们之间还是存在一些重要的区别
JWT身份认证优缺点分析以及常见问题解决方案.docx
10-26
### JWT身份认证优缺点分析及常见问题解决方案 #### 一、JWT身份认证概述 JSON Web Token (JWT) 是一种开放标准 (RFC 7519),用于在各方之间以安全的方式传输信息。JWT 被设计成紧凑和安全的,特别适用于分布式...
Python 基于jwt实现认证机制流程解析
09-16
#### 一、JWT简介及优缺点分析 JWT(JSON Web Token)是一种用于用户身份验证的技术,在现代Web应用开发中被广泛采用。它通过创建一个包含用户信息的令牌来实现认证,这个令牌可以在客户端与服务器之间安全地传递。...
.net core 3.1 WepApi 前后分离身份验证及webapi调试demo ,jwt+swagger
04-14
JWT优缺点 相比于传统的 cookie-session 认证机制,优点有: 更适用分布式和水平扩展 在cookie-session方案中,cookie内仅包含一个session标识符,而诸如用户信息、授权列表等都保存在服务端的session中。...
Angular之jwt令牌身份验证的实现
11-21
标题中的“Angular之jwt令牌身份验证的实现”指的是在Angular应用程序中使用JSON Web Token (JWT)进行用户身份...开发者需要理解JWT的结构、生成和验证过程,以及与传统session认证的差异,才能有效地实施JWT身份验证。
有关JWT的面试问题总结
qq_52880445的博客
11-03 1502
这个问题我们要知道JWT它是如何进行加密的。首先它有自己的一个加密算法,虽然该算法是可逆的,也就是说它是有可能被破解的,这个其实不需要担心,因为它还有一个签名,也就是签名+加密算法都要正确才能解锁,所以我们完全不害怕JWT被拦截伪造。以上就是我在JTW登录中常遇到的一些问题,也写了一些我的理解,如有错误,请练习我。对于这个问题,首先我们要明白啥是有状态,啥事无状态?
JWTtoken区别优缺点
kymengfw的博客
05-19 1616
JWTtoken区别优缺点 TOKEN 概念: 令牌, 是访问资源的凭证。 1、Token的认证流程: 用户输入用户名和密码,发送给服务器。 服务器验证用户名和密码,正确的话就返回给客户端一个签名过的token。 浏览器客户端拿到这个token,存储到cookie或者localStorage中。 客户端后续每次请求中,会在 header中携带token发送给服务器。 服务器器验证token并解析出用户ID等相关信息,通过调取数据库信息比对,如果有效那么
cookie,session,token优缺点
VIC1921507475的博客
02-10 2976
cookie 数据放在客户的浏览器上 优点: 1.减轻服务器性能方面,应当使用cookie。 缺点: 1.单个cookie保存的数据不能超过4K。 2.cookie不是很安全,别人可以分析存放在本地的cookie并进行cookie欺骗,考虑到安全应当使用session。 session数据放在服务器上。 优点: 1.session较安全 缺点: 1.session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,考虑到减轻服务器性能方面,应当使用cookie。 2.s
jwt和csrf token的关系和优缺点
06-12
JWT(JSON Web Token)和 CSRF token...综上所述,JWT 和 CSRF token 都是常见的安全机制,应用场景不同,具有各自的优缺点。在实际开发中,应根据具体场景选择合适的安全机制,以保证应用程序的安全性和稳定性。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值