为什么很多人不推荐使用JWT?

最新推荐文章于 2025-05-11 19:09:11 发布
最新推荐文章于 2025-05-11 19:09:11 发布
阅读量13 收藏
点赞数
文章标签: 网络 服务器 安全 运维
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwNTMxMzg1MA==&mid=2654101509&idx=8&sn=15b60e5213bdaaf473e93c692c3d1f5e&chksm=81c55867c0bb15011950c6b9c997f4666a6b30d1aac46bc8232ec6813b9d9fb5acd5b5875cd8&scene=126&sessionid=0
版权

1. 安全性隐患

  • 密钥管理风险:JWT的安全性依赖于签名算法和密钥的强度。如果密钥泄露或使用弱算法(如HS256),攻击者可能伪造有效令牌,导致身份冒充或数据篡改。

  • 信息泄露:JWT的载荷(Payload)仅通过Base64编码,默认不加密。若包含敏感信息(如用户ID、角色),可能被中间人攻击截获并解码。

  • 算法欺骗:某些JWT实现允许通过修改头部算法为none绕过签名验证,导致未签名的令牌被接受。

2. 会话管理缺陷

  • 无法即时撤销令牌:JWT的无状态特性使得服务端无法主动使令牌失效。若用户注销或密码被修改,旧令牌仍可在有效期内使用,除非引入黑名单机制(需额外存储,违背无状态初衷)。

  • 权限更新延迟:用户权限变更后(如管理员降级),需等待令牌过期才能生效,导致安全隐患。

  • 续签困难:JWT的过期时间(exp)在签名后无法动态刷新,需重新生成令牌,影响用户体验。

3. 性能和传输效率问题

  • 令牌体积大:相比传统会话ID(仅几字节),JWT包含头部、载荷和签名,体积可能显著增加(尤其载荷包含大量数据时),导致带宽消耗和传输延迟。

  • 计算开销:每次请求需验证签名,高并发场景下可能成为服务器性能瓶颈。

4. 实现复杂性与误用风险

  • 配置复杂度高:需严格管理签名算法、密钥和加密策略,错误配置(如弱密钥、未启用HTTPS)可能引发漏洞。

  • 框架支持不足:许多Web框架原生支持基于Cookie的会话管理(自动签名、加密),而JWT需开发者自行处理存储、传输和验证逻辑。

  • 调试困难:验证失败时,客户端仅收到“无效令牌”等模糊提示,难以定位具体问题(如签名错误或算法不匹配)。

5. 与传统会话机制的对比劣势

  • 水平扩展的伪需求:JWT的无状态特性虽适合分布式系统,但大多数应用通过Redis等集中存储即可实现会话扩展,无需引入JWT的复杂性。

  • CSRF防护不解决:若JWT通过Cookie传输,仍需配合CSRF Token防御攻击;若通过Local Storage存储,则可能暴露于XSS攻击。

  • 法律合规性:无论使用Cookie还是Local Storage存储JWT,涉及用户追踪时均需遵循GDPR等隐私法规,与存储方式无关。

尽管JWT存在上述问题,其在以下场景仍具价值:

  • 一次性验证:如账户激活链接,利用exp确保时效性。

  • 短期API授权:固定有效期的令牌用于第三方API调用,减少服务端状态管理。

  • 跨域认证:微服务间传递已验证的身份信息。

总结

JWT并非适用于所有场景,尤其在需要动态会话管理、高安全性或高性能的Web应用中,传统基于Cookie和服务器端会话的机制更具优势。若使用JWT,需严格遵循安全实践(如强密钥、HTTPS、短有效期),并避免存储敏感数据。开发者在选择时应根据具体需求权衡利弊,而非盲目追随技术趋势。

图片 -

看完本文有收获?请转发分享给更多人

推荐关注「CSharp精选营」,提升编程技能

推荐阅读  点击标题可跳转

建群声明:本着技术在于分享,方便大家交流学习的初心,特此建立【CSharp技术交流群】,热烈欢迎各位进群交流学习编程心得,也希望进群的大佬能不吝分享自己遇到的技术问题和经验。

扫码入群

长按识别二维码

添加微信好友备注“入群”

图片

图片

点赞和在看就是最大的支持❤️

请立刻停止使用 JWT 进行会话管理
xyj189802556的专栏
05-14 1554
引言 近来发现,少 WEB 应用系统使用 JWT 进行会话管理,缘由竟然是为了避免服务端存储会话,或者追求可自主控制,实使用 JWT 进行会话管理有巨大的安全隐患! HTTP 会话管理 先说说 HTPP 协议,众所周知, HTTP 协议的特点就是一问一答(一次请求一次响应)。那么基于 HTTP 协议,做个购物网站,要实现用户登录,添加商品到购物车,最终买单的功能。为了实现以上功能,识别出一系列操作都是同一个用户,最为简单的方式就是每次操作浏览器都发送账户和密码,这样服务端知道是哪个用户添加商品到购物车
OAuth2 vs JWT,到底怎么选?
欢迎来到我的博客
11-26 243
本文会详细描述两种通用的保证API安全性的方法:OAuth2和JSON Web Token (JWT) 假设: 你已经或者正在实现API; 你正在考虑选择一个合适的方法保证API的安全性; JWT和OAuth2比较? 要比较JWT和OAuth2?首先要明白一点就是,这两个根本没有可比性,是两个完全同的东西。 JWT是一种认证协议 JWT提供了一种用于发布接入令牌(Access Token),并对发布的签名接入令牌进行验证的方法。令牌(Token)本身包含了一系列声明,应用程序可以根据这些声明..
为什么很多推荐你用JWT?
m0_48069349的博客
05-06 845
这个是他的官网这个就是JWTJWT 全称如果你还熟悉JWT要惊慌!它们并那么复杂!你可以把JWT想象成一些JSON数据,你可以验证这些数据是来自你认识的。当然如何实现我们在这里讲,有兴趣的可以去自己了解。当你登录到一个网站,网站会生成一个JWT并将其发送给你。这个JWT就像是一个包裹,里面装着一些关于你身份的信息,比如你的用户名、角色、权限等。然后,你在每次与该网站进行通信时都会携带这个JWT。每当你访问一个需要验证身份的页面时,你都会把这个JWT带给网站。
为什么很多推荐你用JWT
芋艿V
07-09 200
???? 这是一个或许对你有用的社群???? 一对一交流/面试小册/简历优化/求职解惑,欢迎加入「芋道快速开发平台」知识星球。下面是星球提供的部分资料:《项目实战(视频)》:从书中学,往事上“练”《互联网高频面试题》:面朝简历学习,春暖花开《架构 x 系统设计》:摧枯拉朽,掌控面试高频场景题《精进 Java 学习指南》:系统学习,互联网主流技术栈《必读 Java 源码专栏》:知其然,知其所以然????这是一个或许...
发现很多jwt session token 的区别?
rui888的博客
10-08 258
JWT,全称为JSON Web Token,是一种用于在网络安全传输信息的开放标准。它的设计初衷是用于跨域通信,在同域之间传递声明性信息。JWT是一种自包含的令牌,通常用于实现身份验证和授权。Session Token是一种用于维护用户会话状态的令牌。它通常由服务器生成,用于标识用户的当前会话。Session Token通常包含用户的身份信息,而仅包含用于检索会话数据的标识符。
应该用JWT的!
2301_78976656的博客
07-16 859
JWT: 生成并发给客户端之后,后台是用存储,客户端访问时会验证其签名、过期时间等再取出里面的信息(如username),再使用该信息直接查询用户信息完成登录验证。jwt自带签名、过期等校验,后台用存储,缺陷是一旦下发,服务后台无法拒绝携带该jwt的请求(如踢除用户);Token+Redis: 是自己生成个32位的key,value为用户信息,访问时判断redis里是否有该token,如果有,则加载该用户信息完成登录。
JWT』有让你赶快用它,有劝你放弃它
weixin_43167418的博客
11-02 703
JWT 全称是 JSON Web Token,是目前非常流行的跨域认证解决方案,在单点登录场景中经常使用到。有些觉得它非常好用,用了它之后就用在服务端借助 redis 实现认证过程了...
什么是JWTJWT全称是(Json Web Token)
Romantic丶的博客
04-22 2749
Jwt是一种认证协议,常见的用户名、密码登录去请求接口安全,所以就有了它,就首次或者过期了,才会要求输入用户名密码,之后会对信息加密,并产生一个token(令牌),便于下次访问,服务期内Api资源;私钥加密,应用端公钥解密token。
什么是 JWT?它是如何工作的?
2401_87705025的博客
09-29 822
微服务集群中的每个服务,对外提供的都使用 RESTful 风格的接口。服务端保存任何客户端请求者信息客户端的每次请求必须具备自描述信息,通过这些信息识别客户端身份那么这种无状态性有哪些好处呢?客户端请求依赖服务端的信息,多次请求需要必须访问到同一台服务器服务端的集群和状态对客户端透明服务端可以任意的迁移和伸缩(可以方便的进行集群化部署)减小服务端存储压力这就是 JWT 结合 Spring Security 的一个简单用法。
为什么使用JWT -token
m0_46276938的博客
05-22 3937
cookie 1991 年 HTTP 0.9 诞生了,当时只是为了满足大家浏览 web 文档的要求 ,所以只有 GET 请求,浏览完了就走了,两个连接之间是没有任何联系的,这也是 HTTP 为无状态的原因,因为它诞生之初就没有这个需求。 但随着交互式 Web 的兴起(所谓交互式就是你光可以浏览,还可以登录,发评论,购物等用户操作的行为),单纯地浏览 web 已经无法满足们的要求,比如随着网上购物的兴起,需要记录用户的购物车记录,就需要有一个机制记录每个连接的关系,这样我们就知道加入购物车的商品到底属于谁
为什么推荐使用@Autowired进行依赖注入
Gaomengsuanjia_的博客
04-23 2041
为什么推荐使用@Autowired进行依赖注入
什么是用户认证与授权 - JWT认证(三)
梁老师教你编程序
10-25 1035
然后创建一个JWT TOKEN,使用随机生成的key作为jwt的有效载体,将生成好的JWT Token返给前端,前端保存在本地,当访问后端服务时,前端需要在请求头中携带 jwt token,后端通过拦截器对请求进行拦截,校验token是否有效,如果token有效,则在jwt token的有效载体中获取key,然后使用该key在redis中查找是否存在,如果存在说明登录验证通过,如果存在说明验证登录信息已过期。3、其他的系统,自己解析jwt,如果能解析,就说明登录成功,就可以继续业务。
django jwt token认证中rest_framework_jwt的refresh token有效期
hhhhh11的博客
09-11 5644
导读 jwt在业界已经广泛使用,但这篇文章是用来介绍jwt的,也是用来介绍rest_framework_jwt的,而是跟各位掰扯掰扯rest_framework_jwt中的refresh token功能,因为它很可能是你想象中的refresh token哦 。 场景再现 在jwt鉴权过程中往往会使用accesstoken 和 refreshtoken,顾名思义,refreshtoken是用来更新后的token,如果项目中配置了refreshtoken过期时间一般就是指refreshtoken的有效期,
jwt的token自动续约_JWT Token 刷新和作废
weixin_39736047的博客
12-21 1061
之前一篇文章简单介绍了下JWT的用法,涉及到token的签发和验证。有JWT适合用于替换传统的 session+cookies 机制用于Web应用的用户登录状态维护,很大原因就是这块问题。虽然之前的案例里面,我们可以成功在登录后获取一个Token,然后访问服务器的时候带着这个Token,服务器就可以知道当前访问的用户Uid了,假设现在有一下需求:登录后7天用重复登录超过30天没有访问网站则...
https,http1,http2,http3的一些知识
caixin185的博客
05-10 669
https,http1,http2,http3的一些知识温故知新,突然有问我项目中🤔有使用http3么,一下知从何说起,就有了这篇文章的出现。
2025-05-07 Unity 网络基础8——UDP同步&异步通信
zheliku的博客
05-07 1467
创建套接字 Socket。用Bind()方法将套接字与本地地址进行绑定。用和SendTo()方法在套接字上收发消息。用Shutdown()方法释放连接。关闭套接字。
OSCP - Proving Grounds - NoName
柴郡猫^O^
05-06 345
稍微尝试了一下,发现可能有一些保护或者限制,所以我们采用另一种办法,利用base64编码/解码的方式绕过(ncat是我下载的一个已经编译好的文件,便于在nc没有安装的情况下创建reverse shell)经过试验,haclabs.jpeg包含隐写过的内容,密码是harder,而内容是经过base64编码的superadmin.php,所以我们尝试访问一下。查看一下页面源码,在底端发现了一个passphrase,也许是隐写过的图片的密码,于是我们把图片都下载下来。发现了admin目录。打开就发现了很多图片。
网络】:传输层协议 —— UDP、TCP协议
最新发布
元清的博客
05-11 795
UDP协议是一种无连接、可靠的传输层协议,其核心特点包括无连接性、可靠传输、面向数据报以及无拥塞控制与流量控制。UDP数据报由头部和数据部分组成,头部包含源端口、目的端口、长度和校验和等字段。UDP通过目标端口号将有效载荷交付给上层协议或应用程序,操作系统根据端口号将数据分发给对应的应用。UDP的缓冲区管理相对简单,主要依赖操作系统的接收和发送缓冲区。基于UDP的应用层协议包括DNS、DHCP、SNMP、TFTP、RTP和WebRTC等,这些协议利用UDP的轻量级和低延迟特性,适用于同的应用场景。相比
Docker容器网络架构深度解析与技术实践指南——基于Linux内核特性的企业级容器网络实现
2401_86478612的博客
05-07 925
全文16000多字详细阐述了Docker容器网络架构
JWT是什么?如何生成和验证JWT
05-29
JWT(JSON Web Token)是一种用于身份验证的开放标准,它可以在网络应用间传递声明,以便于安全地传输用户数据。JWT通常用于在身份验证和授权过程中,作为API的令牌。它是由三部分组成的字符串,分别是:头部(Header)、载荷(Payload)和签名(Signature)。其中头部和载荷都是使用Base64Url编码的JSON字符串,而签名则是由头部、载荷和一个密钥组成的哈希值。 JWT的生成和验证过程如下: 生成JWT: 1. 创建一个包含用户信息的JSON对象,并将其编码为Base64Url格式的字符串,作为载荷部分。 2. 创建一个包含算法信息的JSON对象,并将其编码为Base64Url格式的字符串,作为头部部分。 3. 将头部和载荷以点号连接起来,形成未签名的JWT字符串。 4. 使用密钥对未签名的JWT字符串进行签名,生成签名部分。 5. 将签名与未签名的JWT字符串以点号连接起来,形成最终的JWT字符串。 验证JWT: 1. 从JWT字符串中分离出头部、载荷和签名三个部分。 2. 使用头部中指定的算法和密钥对未签名的头部和载荷进行签名,生成一个新的签名值。 3. 将新生成的签名值与原有的签名值进行比较,如果相同,则说明JWT验证通过,否则验证失败。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值