以前我觉得成绩不重要。清华 、北大、复旦、交大 ,只能代表学生时代的成就。后来我发现,努力是种习惯,它会贯穿终生
介绍
JWT的全称是Json Web Token。将用户信息加密到token里,服务器不保存任何用户信息,只保存密钥信息,通过使用特定加密算法验证token,通过token验证用户身份。jwt 之前,使用 session 来做用户认证,那我们先看看传统的session机制
cookie-session机制原理
用户浏览器访问web网站,输入用户名密码
服务器校验用户名密码通过之后,生成sessonid并把sessionid和用户信息映射起来保存在服务器
服务器将生成的sessionid返回给用户浏览器,浏览器将sessionid存入cookie
此后用户对该网站发起的其他请求都将带上cookie中保存的sessionid
服务端把用户传过来的sessionid和保存在服务器的sessionid做对比,如果服务器中有该sessionid则代表身份验证成功
cookie-session机制缺点
代码安全机制不完善,可能存在CSRF漏洞
服务端需要保存sessionid与客户端传来的sessionid做对比,如果是分布式部署,需要复制sessionid,在多台集群机器之间共享
如果需要单点登入,则须将sessio