发现很多人分不清 jwt session token 的区别?

已于 2023-10-08 14:04:51 修改
阅读量193 收藏
点赞数
文章标签: 开发语言 java
于 2023-10-08 14:03:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rui888/article/details/133680118
版权

1. JWT(JSON Web Token)

1.1 什么是JWT?

JWT,全称为JSON Web Token,是一种用于在网络上安全传输信息的开放标准。它的设计初衷是用于跨域通信,在不同域之间传递声明性信息。JWT是一种自包含的令牌,通常用于实现身份验证和授权。

1.2 JWT的结构

JWT令牌由三个部分组成:头部(Header)、声明(Payload)和签名(Signature)。

头部(Header):头部通常包含了令牌的类型(例如,JWT)以及所使用的签名算法(例如,HMAC SHA256或RSA)。

声明(Payload):声明包含了有关实体(通常是用户)以及其他数据的信息。这些信息以键值对的形式存在,可以包括用户ID、角色、权限等。

签名(Signature):签名是对头部和声明的签名,用于验证令牌的完整性和来源。签名的生成需要使用密钥,只有拥有正确密钥的实体才能验证令牌。

1.3 JWT的工作原理

JWT的工作原理如下:

  • 用户登录:用户在应用程序中进行登录,并提供有效的凭据(例如用户名和密码)。

  • 令牌生成:服务器在用户登录成功后生成JWT令牌。令牌的头部和声明部分包含有关用户的信息,然后对这两部分进行签名。

  • 令牌返回:服务器将生成的JWT令牌返回给客户端(通常是作为响应的一部分),客户端通常将其存储在本地。

  • 令牌验证:客户端在后续的请求中将JWT令牌发送给服务器。服务器接收到令牌后,会验证其签名以确保令牌的完整性和来源。如果验证成功,服务器会解析声明部分以获取用户信息,然后根据需要执行身份验证和授权操作。

访问控制:服务器可以使用令牌中包含的信息来决定用户是否有权访问特定资源或执行特定操作。

1.4 JWT的特点

JWT的特点包括:

  • 自包含性:JWT包含了所有必要的信息,因此无需在服务器上存储会话信息,使得它们特别适用于分布式系统。

  • 安全性:JWT使用签名来验证令牌的完整性和来源,因此具有较高的安全性。

  • 声明性:JWT的声明部分允许在令牌中包含有关用户的声明信息,这在身份验证和授权中非常有用。

  • 无状态性:由于JWT是自包含的,服务器不需要在会话中存储任何信息,使得它们适用于RESTful API等无状态应用。

2. Session Token

2.1 什么是Session Token?

Session Token是一种用于维护用户会话状态的令牌。它通常由服务器生成,用于标识用户的当前会话。Session Token通常不包含用户的身份信息,而仅包含用于检索会话数据的标识符。

2.2 Session Token的工作原理

Session Token的工作原理如下:

  • 用户登录:用户在应用程序中进行登录,并提供有效的凭据。

  • 令牌生成:服务器在用户登录成功后生成一个Session Token,并将其与用户的会话相关联。通常,服务器会将Session Token存储在服务器端的数据存储中,例如数据库或内存中。

  • 令牌返回:服务器将Session Token返回给客户端,通常通过Cookie或其他机制来传递给客户端。

  • 会话管理:客户端在后续的请求中将Session Token发送给服务器。服务器接收到令牌后,会查找与该令牌关联的会话数据,从而维护用户的会话状态。

  • 访问控制:服务器使用会话中存储的信息来确定用户是否有权访问资源或执行操作。

2.3 Session Token的特点

Session Token的特点包括:

  • 会话状态维护:Session Token主要用于维护用户的会话状态,而不包含用户声明信息。

  • 服务器存储:Session Token通常在服务器端存储,因此服务器需要维护与会话相关的数据。

  • 无需签名:与JWT不同,Session Token通常不需要签名,因为它们的有效性由服务器进行管理。

  • 短期有效性:Session Token通常在用户注销或会话超时后失效。

3. 普通Token

3.1 什么是普通Token?

普通Token是一个通用术语,可以用来表示各种类型的令牌,包括Session Token、JWT以及其他用于身份验证、授权或访问控制的令牌。它没有特定的结构或属性,而是根据应用程序的需求和设计来定义。

3.2 普通Token的特点

普通Token的特点是相对灵活的,具体取决于它们的用途和实现方式。一些通用特点包括:

  • 用途多样性:普通Token可以用于各种用途,包括身份验证、授权、访问控制等。

  • 可扩展性:它们可以根据应用程序的需求进行自定义和扩展。

  • 无结构性:普通Token通常没有特定的结构,可以是简单的标识符或包含多个属性的数据。

4. 区别总结

现在,让我们总结一下JWT、Session Token和普通Token之间的主要区别:

JWT是一种自包含的令牌,用于安全传输信息,通常用于身份验证和授权,包含用户声明信息。

Session Token用于维护用户的会话状态,通常由服务器生成,不包含用户声明信息。

普通Token是一个通用术语,用于表示各种令牌,其特性取决于具体用途和实现。

这三种令牌在不同的应用场景中具有不同的优势和用途。选择合适的令牌类型取决于您的应用程序需求、安全要求和设计目标。无论选择哪种令牌类型,都需要谨慎设计和实施,以确保安全性和性能。

tony4geek
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Cookie、SessionTokenJWT.xmind
01-30
Cookie、SessionTokenJWT.xmind
JWT Token生成及验证
07-16
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为JSON对象。这种信息可以被验证和信任,因为它是数字签名的。JWT在身份验证和授权场景中广泛应用...
sessiontokenjwt、oauth2 傻傻分不清
HollisChuang's Blog
08-02 1268
△Hollis, 一个对Coding有着独特追求的人△这是Hollis的第367篇原创分享作者 l zyz1992来源 l Hollis(ID:hollischuang)在我们的 ja...
普通数字签名和JWT中的数字签名的区别
zhpf225的博客
08-23 700
数字签名 数字签名技术是将摘要信息用发送者的私钥加密,与原文一起传送给接受者。接受者只有用发送者的公钥才能解密被加密的摘要信息,然后用HASH函数对接收到的原文产生一个摘要信息,与解密的摘要信息对比。如果相同,则说明收到的信息是完整的,在传输的过程中没有被修改,否则说明信息被修改过,因此数字签名能够验证信息的完整性。数字签名是一个加密的过程,数字签名验证是一个解密的过程。 JWTJava web TokenJWT本身是为了解决服务端的token存储的问题,为了避免服务端存储大量的token,服务端可以
分不清 Cookie、SessionTokenJWT
程序员小乐
02-20 560
点击上方 "程序员小乐"关注,星标或置顶一起成长每天凌晨00点00分,第一时间与你相约每日英文You'd better not miss two th...
JWT Token生成及验证(源码)
04-12
这个"JWT Token生成及验证(源码)"的压缩包文件可能包含了一个示例项目,用于演示如何生成和验证JWT令牌。让我们深入探讨JWT的工作原理以及相关的关键知识点。 1. JWT结构: JWT令牌由三部分组成,用点(.)分隔:...
JWT Token实现方法及步骤详解
09-07
JSON Web Token (JWT) 是一种安全的身份验证和信息传输机制,尤其在前后端分离的应用架构中广泛应用。JWT 用于在不同系统之间安全地传递信息,尤其是用户认证信息,且无需在每次请求时与服务器交互。它由三部分组成...
【C++&Python&Java】字符处理详细解读_字符_ASCLL码_字母数字转换_算法竞赛_开发语言
YLCHUP的博客
07-15 3124
C++和Python和Java语言超全讲解,详细辨析字符的妙用。让你熟练玩转“字符”这一数据类型。快来看ヾ(•ω•`)o
12. Hibernate 模板设计模式
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 464
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP中有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目中,Hibernate仅仅只是完成项目中的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发。Spring框架中就提供的有Hibernate模板对象。一个常规的、频繁的操作代码中,大部分代码不需要变动,只有小部分代码需要根据需求变动。
Promise 详解(原理篇)
山重水复疑无路,柳暗花明又一村。
07-20 569
Promise 是一种异步编程的解决方案。在异步操作中,callback 会导致回调地狱的问题,Promise 解决了这个问题。一个 Promise对象有以下三种状态:pending:初始状态,既不是成功,也不是失败状态。:意味着操作成功完成。rejected:意味着操作失败。当 new Promise() 被实例化后,即表示 Promise 进入 pending 初始化状态,准备就绪,等待运行。
Java内存模型
weixin_44267758的博客
07-19 683
此处的变量不是指java编程中的变量,它包括了实例字段,静态字段和构成数值对象的元素,但不包括局部变量和方法参数。JMM规定所有变量都存储在主内存中。每条线程有自己的工作内存,工作内存中保留了该线程使用到变量的主内存的副本。线程对变量的所有操作都必须在工作内存中进行,不能直接读写主内存的变量,不同的线程间也无法直接访问对方工作内存的变量,线程之间的变量值传递需要通过主内存来完成。
接口防刷!利用redisson快速实现自定义限流注解
架构师小吴的博客
07-18 1187
如登录接口,当用户使用手机号+验证码登录时,一般我们会生成6位数的随机验证码,并将验证码有效期设置为1-3分钟,如果对登录接口不加以限制,理论上,通过技术手段,快速重试100000次,即可将验证码穷举出来。解决思路:对登录接口加上限流操作,如限制一分钟内最多登录5次,登录次数过多,就返回失败提示,或者将账号锁定一段时间。在日常开发中,一些重要的对外接口,需要加上访问频率限制,以免造成资��损失。ok,通过以上两步,即可完成我们的限流注解了,下面通过一个接口验证下效果。
JVM-垃圾回收与内存分配
m0_50846237的博客
07-19 1184
JVM-垃圾回收与内存分配
Java算法】前缀和 下
2302_79806056的博客
07-18 1082
这段代码实现了一个寻找数组中具有相等数量的0和1的最长子数组长度的算法。具体来说,它使用了前缀和(prefix sum)的概念以及哈希映射(HashMap)来优化查找过程。初始化哈希映射:计算前缀和:检查相等数量的0和1:更新哈希映射:返回结果:这种方法的时间复杂度为O(n),因为我们只遍历数组一次,并且对每个元素执行常数时间的操作。空间复杂度也是O(n),最坏情况下需要存储n个前缀和值。 初始化阶段:开始遍历数组:继续
淘客返利系统中的服务发现与注册机制详解
技术研究中心
07-22 692
通过服务注册中心,服务提供者可以将自己注册到注册中心,服务消费者可以从注册中心获取服务提供者的地址,以实现服务调用。本文详细介绍了淘客返利系统中服务发现与注册机制的实现,包括Eureka的配置与代码示例。通过Eureka,我们可以轻松实现服务的注册与发现,确保分布式系统中各个服务之间的通信。在本文中,我们将深入探讨淘客返利系统中的服务发现与注册机制,并结合Java代码进行详细讲解。在我们的淘客返利系统中,我们采用Eureka作为服务发现与注册的工具。在我们的淘客返利系统中,首先需要配置Eureka服务器。
Java实现拼图小游戏
最新发布
Aishangyuwen的博客
07-22 764
Java实现拼图小游戏
华为OD机试 - 分披萨 - 递归(Java 2024 D卷 200分)
学Java,找哪吒
07-21 742
递归算法通过函数调用自身解决问题,每次递归调用都处理问题的一个子部分,直到达到基准条件,从而构建最终解。
Java并发编程之美 | 第三篇】Java 并发包中锁原理剖析之AQS、ReentrantLock独占可重入锁
踢桃的成长之路
07-21 656
Java 并发包中锁原理剖析之AQS、ReentrantLock独占可重入锁
2. token、cookie、session区别
06-06
Token、Cookie、Session 都是用于在客户端和服务器之间传递信息的方式,但是它们在实现和应用场景上有所不同。 1. TokenToken 是一种轻量级的身份验证和授权机制,通常使用 JWT(JSON Web Token)格式进行编码和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值