session和jwt哪个更好

已于 2023-05-10 15:26:54 修改
阅读量1.4k 收藏 2
点赞数
分类专栏: 前端 文章标签: 前端 java 开发语言
于 2023-04-05 15:13:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46130027/article/details/129971142
版权

session和jwt

session

Session是把用户的具体信息,权限什么的,存在于服务端的。用户发过来的SessionId,它可以直接去对比一个Map。直接去查看的,这样的话,效率比较高。

优点

  1. 原理简单,易于学习。
  2. 用户信息存储在服务端,可以快速封禁某个用户。

缺点

  1. 占用服务端内存,硬件成本高。
  2. 多进程,多服务器时,不好同步-需要使用第三方缓存,如redis。
  3. 默认有跨域限制。

分布式情况下存在的问题

有两台机器,分别称为A和B。因为它是分布式的,所有一般的情况下是会有一个负载均衡服务器的。用户去访问的时候,它可能第一次去访问A,然后A记录了用户的信息。然后这个用户再去访问的时候,它可能就访问B了,比如说登录功能,它就会让你重新登录,特别影响用户体验。

分布式情况下问题的解决方案

再有一个服务器用于统一存放Session信息。但如果用户信息太多,一台服务器存不下怎么办?
答:用redis来解决该问题。一般就是用Redis做统一的存储或者说不同机器之间做一个同步。一般就是这两种情况。

jwt

JWT传过来之后,服务器是还需要进行解析的。这样的话,它的性能消耗是比较高的。

优点

  1. 不占用服务端内存
  2. 多进程,多服务器,不受影响
  3. 无跨域限制

缺点

  1. 用户信息存储在客户端,无法快速封禁某个用户。
  2. 万一服务端密钥被泄露,用户信息全部丢失。
  3. token体积一般大于cookie,会增加请求的数据量。

总结

  1. 如有严格管理用户信息的需求,推荐session。
  2. 如无特殊需求,使用jwt。

参考资料:前端面试第16题:session和jwt

甜瓜瓜哥
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jwtsession的取舍
weixin_42165130的博客
11-01 949
一、session 1.传统的session认证 http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求...
用户认证:基于jwtsession的区别和优缺点
weixin_30319097的博客
12-09 1158
背景知识: Authentication和Authorization的区别: Authentication:用户认证,指的是验证用户的身份,例如你希望以小A的身份登录,那么应用程序需要通过用户名和密码确认你真的是小A。 Authorization:授权,指的是确认你的身份之后提供给你权限,例如用户小A可以修改数据,而用户小B只能阅读数据。 由于http协议是无状态的,每一次请求都无状态。当...
深入浅出了解SessionJWT认证机制的区别和优缺点
wuuud1的博客
10-22 964
JWT (Json Web Token) 起源: 说到JWT, 我们应该探讨一下传统session鉴权与现在常用的token鉴权有何不同 传统Session鉴权: 我们知道http协议是无状态协议, 即每一次请求之间是没有关联的, 对于服务器来说每一次请求犹如一个陌生人来访. 那我们为了记住我们的登录状态, 我们需要在用户进行用户名密码验证之后产生一个特殊字符串, 并利用cookie保存到客...
转载cookie/sessionjwt的优缺点
weixin_61422097的博客
09-24 1180
浅谈session,cookie,jwt 三者共同点:三者都是应用在web中对http无状态协议的补充,达到状态保持 cokkie:cookie中的信息是以键值对的形式储存在浏览器中的,而且在浏览器中可以直接看到数据 sessionsession存储在服务器中,然后发送一个cookie存储在浏览器中,cookie中存储的是session_id通过session_id请求服务器可以获取对应的session信息. jwt:由服务器产生加密的json数据包括,header,payload,signature
Nodejs中的JWTSession的使用
10-18
主要介绍了Nodejs中的JWTSession的使用,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Cookie、Session、Token、JWT.xmind
01-30
Cookie、Session、Token、JWT.xmind
JWT相关知识及Cookie, Session,Token和JWT的区别总结.pdf
05-31
最通俗的关于Cookie, Session,Token和JWT的相关笔记和理解。在终章笔记中主要介绍一下JWT以及总结Cookie到JWT的区别与发展,包括JWT的定义,特点,重要属性,优缺点,作用和使用场景,Cookie到JWT场景,安全等的...
jwt简单的介绍和了解
10-27
JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 基于session的登录认证 在传统的用户登录认证中,因为http是无状态的,所以都是...
在分布式项目中,面对用户登录认证,使用JWT代替Session的原因
HellHellNo的博客
08-04 964
1、服务器压力变大 使用Session进行用户认证,每增加1个用户进行登录认证,服务器就需分配内存存放Session,随着认证用户的增多,服务端的开销会明显增大 2、扩展性变差 用户登录认证记录保存在服务器内存中,则该用户下次发送登录请求时,必须在该台服务器上才可获得授权资源;假设在分布式系统中,多数初始用户认证请求被分配到服务器A、一部分到B、少部分到C,明显各服务器的请求数量不均等,限制了负载均衡器的能力,也就意味着限制扩展的能力 3、安全性变低 由于用户识别是基于Cookie进行的,若Cookie被截
基于jwtsession的区别和优缺点
梁靓凉的博客
03-13 191
由于是无状态使用JWT,所有的数据都被放到JWT里,如果还要进行一些数据交换,那载荷会更大,经过编码之后导致jwt非常长,cookie的限制大小一般是4k,cookie很可能放不下,所以jwt一般放在local storage里面。一样的道理,要改变jwt的有效时间,就要签发新的jwt。例如你在payload中存储了一些信息,当信息需要更新时,则重新签发一个jwt,但是由于旧的jwt还没过期,拿着这个旧的jwt依旧可以登录,那登录后服务端从jwt中拿到的信息就是过时的。而由于jwt具有一次性的特性。
用户认证:基于jwtsession的区别和优缺点【转】
最新发布
tongbowen_123的博客
10-14 229
有效期短只希望被使用一次比如,用户注册后发一封邮件让其激活账户,通常邮件中需要有一个链接,这个链接需要具备以下的特性:能够标识用户,该链接具有时效性(通常只允许几小时之内激活),不能被篡改以激活其他可能的账户,一次性的。这种场景就适合使用jwt。而由于jwt具有一次性的特性。单点登录和会话管理非常不适合用jwt,如果在服务端部署额外的逻辑存储jwt的状态,那还不如使用session。基于session有很多成熟的框架可以开箱即用,但是用jwt还要自己实现逻辑。
jwtsession的区别
weixin_58775072的博客
11-03 3972
jwtsession的区别总结
系统登录认证流程对比(cookie方式与jwt)
iygxv
11-01 1316
系统登录认证流程对比(cookie方式与jwt) 一个正在努力爱好运动的程序猿座右铭:越努力越幸运,越运动越健康,热爱编程,热爱运动。 文章目录系统登录认证流程对比(cookie方式与jwt)一、cookie方式登录认证二、JWT(Json Web Token)方式登录认 一、cookie方式登录认证 步骤: 1.用户向服务器发送用户名和密码。 2.服务器验证后,相关数据(如用户角色等)将保存在当前会话(session)中。 3.服务器向用户返回sessionId会写入到用户的Cookie。 4
JWT(一):JWTseesion对比
INNNNNK的博客
04-07 812
JWT原理及实现 一、JWT是什么 JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally
JWTsession的区别
go_forever_happy的博客
10-15 2931
区别 JWTsession最重要的区别是: JWT不需要存储,而是在服务端根据前端传回的token进行解密比对处理 session是在用户登录之后,给浏览器返回一个sessionid,另外在服务器端同时存储sessionid及必要的用户信息,在用户使用cookie把sessionid传回服务端,服务端基于sessionid去数据库查询,若查到则表示用户还在活跃期,同时也可以获取到存储的必要用户信息。 相同点 都需要使用cookie。 ...
session VS JWT 登陆对比
Machangzhi_1115的博客
04-04 343
session VS JWT 登陆对比
服务器sessionjwt之争
热门推荐
三少GG
12-12 1万+
1. session session和cookie的目的相同,都是为了克服http协议无状态的缺陷,但完成的方法不同。session通过cookie,在客户端保存session id,而将用户的其他会话消息保存在服务端的session对象中,与此相对的,cookie需要将所有信息都保存在客户端。因此cookie存在着一定的安全隐患,例如本地cookie中保存的用户名密码被破译,或co
jwtsession的区别和优缺点
matong5418的博客
02-25 537
背景知识:Authentication和Authorization的区别: Authentication:用户认证,指的是验证用户的身份,例如你希望以小A的身份登录,那么应用程序需要通过用户名和密码确认你真的是小A。 Authorization:授权,指的是确认你的身份之后提供给你权限,例如用户小A可以修改数据,而用户小B只能阅读数据。 由于http协议是无状态的,每一次请求都无状态。当一个用户通...
为社么用jwt代替session
05-19
使用JWT(JSON Web Tokens)代替传统的Session机制的主要原因有以下几点: 1. 无状态:使用JWT之后,后端不需要存储任何用户的状态信息,因为所有必要的信息都被编码进了JWT中。这样就可以使得后端变得无状态,从而简化了应用的架构和扩展性。 2. 跨域支持:JWT是一种基于Token的身份验证机制,可以在跨域请求的情况下传递身份验证信息。这在现代的Web应用程序中非常重要。 3. 安全性:JWT使用签名算法对其内容进行签名,防止信息被篡改。另外,在使用HTTPS协议的情况下,它也可以保证信息的机密性。 4. 可扩展性:JWT是一个开放的标准,并且可以被扩展。这意味着您可以为您的应用程序添加自定义的声明,以满足您的特定需求。 总之,使用JWT代替传统的Session机制可以为Web应用程序提供更多的灵活性、更好的安全性和更好的扩展性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值