【jwt token以及session的会话保持】

已于 2022-05-07 10:51:26 修改
阅读量487 收藏
点赞数
分类专栏: djano 文章标签: 备忘录模式
于 2022-04-26 16:29:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58959719/article/details/124430631
版权
本文探讨了session和JWT Token两种会话保持机制。session将验证信息存储在服务器内存,依赖cookie中的sessionid,但存在内存占用、安全性和扩展性问题。JWT Token则将用户信息编码为token存储在客户端,通过解码验证,避免了session的缺点,更利于服务器扩展且相对安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

session会话保持

  1. 会话保持
    浏览器向服务器发送请求登录,服务器把验证信息存储在session里,并返回一个sessionid给浏览器,浏览器把sessionid存储到cookie中,下次请求时带着cookie一起发送给服务器,服务器根据浏览器发送的cookie从内存中获取用户的信息
    在这里插入图片描述
  1. 缺点
    • 占用内存
    • ssessionid存储在cookie中不安全,容易产生CSRF问题
    • 限制了服务器的扩展

jwt token的会话保持

  1. 会话保持
    浏览器发送请求登录,服务端认证身份,根据算法,将用户标识信息编码生成token,并返回给浏览器做本地存储,下次请求时,把本地的token一起发送给服务器,服务器通过解码token完成用户身份认证
    在这里插入图片描述
  1. 优点
    • 不占用内存
    • 具有哈希加密的签名,相对来说比较安全
    • 有利于服务器的扩展
最低0.47元/天 解锁文章
【SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
Spring Session 整合 JWT Token
pomer_huang的博客
12-07 5325
依赖库 pom.xml <dependency> <groupId>org.springframework.session</groupId> <artifactId>spring-session-data-redis</artifactId> <version>1.3.1.RELEASE</version>
sessiontoken
weixin_48811255的博客
07-01 492
sessiontoken
JWT状态保持
weixin_49596018的博客
01-17 585
状态保持 状态保持的概念 session JWT 状态保持的概念 所谓状态保持,就是指保存用户的登陆状态。用户在一定时间内,如果再次打开网站,那么就不需要再次登陆。因为登陆的状态已经在上一次登陆中被保存下来了,但是,这个状态的保存不是永久的,一般会有一个时间。 最早的时候,要实现状态的保持,最常见的就是: cookie:所谓 cookie,是将用户的信息保存在客户端,下一次用户再访问网站的时候,会自动携带 cookie 到服务器端。 session:将用户的数据存储在服务器端,客户端返回一个 sess
jwt-tokensession会话保持
weixin_69282249的博客
04-27 757
1.jwt-token会话保持 (1)会话保持 浏览器发送登录请求,通过算法,将用户的标识信息编码生成token返回给浏览器做本地存储,下次请求时将本地的cookie一起发送给服务器,服务器通过解码token,获得用户的信息,完成认证 (2)优点 1.不占用内存 2.具有哈希加密的sinature,更安全 3.有利于服务器扩展 2.session会话保持 (1)会话保持 浏览器带着用户名和密码请求服务器,服务器将用户信息保存session中,并返回一个sessionid给浏
Session以及jwt token会话保持
kun_ers的博客
04-26 488
session 客户端浏览器将用户名,密码发送给服务器 服务器将用户信息存储在session中,生成一个sessionid 服务器讲sessionid返回给浏览器,jiangsession存储到cookie 下次请求时,携带该cookie发送给服务器 服务器根据sessionid获取到用户信息,登陆成功 缺点: 1.session存储在内存里,占用内存 2.session存储在cookie不安全,容易产生CSRF问题(CSRF:跨域伪造请求攻击) 3.限制服务器扩展, 各服务器不能
jwt状态保持
twoyearTrainee的博客
06-17 251
状态保持 1、session 2、jsonwebtoken(jwt) ​ 实现步骤如下: npm i jsonwebtoken express-jwt --save ​ a/登录成功生成并下发token(代理服务器): let jwt = require("jsonwebtoken"); let secretKey = "服务器需要保存的一个密钥"; if([成功]){ //生成token let token =jwt.sign( {}, // payload secr
JWT(代替Session会话)
qq_24769781的博客
06-11 389
经典的保持登陆状态的办法是Session,也就是用户登陆后,服务器产生唯一标识SessionId,并把SessionId和登陆的用户信息保存在服务器内存中,通时将SessionId发送给浏览器(),当浏览器再次访问的时候,http请求中便携带了SessionId,服务器根据该Id在内存中取到用户信息,这样就实现了登陆功能功能。1:如果Session保存在内存中,当登陆用户多的时候,会占用服务器大量服务器内存,而且无法支持分布式集群。
thinkphp框架使用JWTtoken的方法详解
01-03
本文实例讲述了thinkphp框架使用JWTtoken的方法。分享给大家供大家参考,具体如下: 简介 一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各...
JWT(Json Web Token)实现状态保持
MrNoboday
08-12 4776
JWT简介 Json web token (JWT), 是为了在网络应用间传递声明的基于JSON的开放标准,该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。其中的分布式站点的单点登陆的状态保持,在这里简单介绍下:举京东的例子,主页www.jd.com作为一个站点部署在单独的服务器上,其购物车www.car.jd.com作为单独的一个站点部署在单独的服务器上。那么单...
状态保持sessionJWT
guodejie的博客
07-29 1238
1. session认证,token认证:登录状态保持 2. jwt是基于token的一种认证形式 3. sessionsession保存在服务器端的,对服务器开销大                 拓展,部署多台服务器,访问不同服务器都要验证登录                 CSRF:cookie被截获,用户信息会泄露 jwtjwttoken保存在浏览器端的,不影响服务...
JWT 的状态保持以及Token cookie + sesson 状态保持
qq_47214490的博客
09-23 379
JWT的构成 由三段信息构成的,分别是: 头部:声明自己的类型和加密方式 载荷:存放数据(存放有效信息的)标准中注册的声明 公共的声明 私有的声明 签证:验证 header(base64后的) payload(base64后的) secret JWT的加密方式:头部的加密方式 + 载荷的加密方式 + 随机字符串 JWT是由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串 如何状态保持 JWT的原则是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户之后,当用..
你能说出 Cookie,SessionTokenJWT 的区别吗 ?
Wu hao's blog
06-29 311
这篇文章是对于 Cookie,SessionTokenJWT 区别的一个总结: 前置知识 : 什么是 认证 ,授权,凭证? 认证 : 验证当前用户身份。 互联网中的认证 :用户名密码登录;邮箱发送登录链接;手机号接收验证码等。 授权 :用户授权第三方应用访问该用户某些资源的权限。 实现授权的方式有 :cookie,sessiontoken,OAuth。 凭证 :实现认证和授权的前提是需要一种媒介(证书)来标记访问者的身份。 一般网站中,当用户登录成功后,服务器会给该用户使用的浏...
0-会话保持之解决方案cookie、sessiontokenjwt
驰骋的博客
12-11 615
欢迎使用Markdown编辑器写博客 本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I
不要使用 JWT 进行会话管理
weixin_30834783的博客
10-12 333
英文原文地址:Stop using JWT for sessions 最近我发现越来越多的人推荐使用 JWT 来在 Web 应用中管理会话Session),这是一个非常非常糟糕的主意,在这篇文章中我会详细地解释为什么“不要使用 JWT 进行会话管理”。 为了方便叙述的同时避免混淆,我需要先定义一些概念: 无状态 JWT(Stateless JWT):一个包含了所有会话相关数据的 JW...
会话跟踪技术——JWT令牌
cl的博客
01-18 1120
服务器会接收很多的请求,但是服务器是需要识别出这些请求是不是同一个浏览器发出来的。比如:1和2这两个请求是不是同一个浏览器发出来的,3和5这两个请求不是同一个浏览器发出来的。如果是同一个浏览器发出来的,就说明是同一个会话。如果是不同的浏览器发出来的,就说明是不同的会话。而识别多次请求是否来自于同一浏览器的过程,我们就称为会话跟踪。我们使用就是要。
php单点登录两种实现方案session模式以及jwt模式
withoutfear的博客
03-27 463
session cookie模式 将session保存到一个公共服务器上,取session时从服务器上取,可以用redis或者mysql等存储,要注意过期时间 php提供的session_set_save_handler函数就可以完成存储 代码实现如下 <?php header('content-type:text/html;charset=utf-8'); //将session存储方式设置为存入数据库的方式 //session.save_handler = files ini_set("se
【项目实践】在用安全框架前,我想先让你手撸一个登陆认证
RudeCrab的博客
08-31 2952
学会基本原理后,什么框架都是手到擒来
JWT TokenSession认证机制有何本质区别?
最新发布
04-03
<think>好的,我现在需要帮助用户理解JWT TokenSession认证机制的区别及原理。首先,我得回忆一下这两个认证机制的基本概念和工作流程。 根据引用内容,Session认证是基于服务器存储的,用户登录后,服务器生成Session ID并存储在内存或数据库里,然后通过Cookie返回给客户端。之后的每次请求,客户端都会带上这个Session ID,服务器通过它来验证用户身份。而JWT Token则是无状态的,服务器生成一个包含用户信息和签名的Token,客户端保存这个Token并在请求时携带,服务器验证签名和内容即可,不需要存储会话信息。 接下来需要整理它们的区别。首先是存储位置,Session在服务器端,JWT在客户端。然后是扩展性,JWT更适合分布式系统,因为不需要共享Session存储。安全性方面,JWT如果被截获可能被滥用,而Session可以通过服务器端及时废止。网络开销方面,JWTToken可能比Session ID大,增加带宽消耗。状态管理上,Session是有状态的,JWT是无状态的。 还要注意引用中的观点,比如引用4提到JWT的不安全性,比如无法主动废止,而引用5指出JWT是跨域认证的解决方案,适合分布式场景。需要把这些点综合起来,对比两者的优缺点。 用户可能关心实际应用中的选择,比如什么时候用Session,什么时候用JWT。比如在需要高扩展性的分布式系统中,JWT可能更适合;而在需要严格安全控制、需要即时废止用户权限的场景,Session可能更合适。 另外,引用2提供了Shiro整合SessionJWT的示例,说明实际应用中可能需要同时支持多种认证方式,这也是一个值得提及的点。 现在需要确保回答结构清晰,分点比较原理和区别,然后总结优缺点和适用场景。同时,根据用户要求,生成相关问题,可能涉及安全性、实现方式、优化等。</think>### JWT TokenSession 认证机制的区别及原理比较 #### 1. **存储位置与状态管理** - **Session 认证** - **原理**:用户登录后,服务器生成唯一的 Session ID 并存储在服务器端(如内存、Redis 或数据库),同时通过 Cookie 返回给客户端。后续请求中,客户端携带 Session ID,服务器通过比对存储的会话数据验证身份[^1][^4]。 - **状态**:**有状态**,服务器需维护会话信息。 - **示例**: ```text 用户登录 → 生成 Session ID(服务器存储) → 返回 Session ID 至客户端 → 客户端后续请求携带 Session ID ``` - **JWT Token 认证** - **原理**:服务器生成包含用户信息(头部、载荷、签名)的 JSON Web Token,客户端保存 Token 并在请求时携带(如 Header)。服务器仅需验证签名和 Token 有效性,无需存储会话信息[^3][^5]。 - **状态**:**无状态**,服务器不存储 Token。 - **示例**: $$ \text{Token} = \text{Base64(Header)}.\text{Base64(Payload)}.\text{Signature} $$ #### 2. **安全性对比** - **Session** - **优点**:可主动废止会话(如用户退出时删除 Session 或强制过期)[^4]。 - **缺点**:依赖 Cookie 传输 Session ID,需防范 CSRF 攻击。 - **JWT** - **优点**:通过签名防篡改,支持跨域认证。 - **缺点**:Token 一旦泄露,在有效期内可能被滥用;需依赖额外机制(如黑名单)实现主动废止[^4]。 #### 3. **扩展性与性能** - **Session** - **扩展瓶颈**:分布式系统中需共享 Session 存储(如 Redis 集群),增加架构复杂度。 - **性能**:每次请求需查询会话存储,可能引入延迟。 - **JWT** - **扩展性**:天然适合分布式系统,无需会话存储共享。 - **性能**:验证签名计算可能消耗 CPU,但避免了存储查询。 #### 4. **适用场景** - **Session 更适合**: - 需要严格会话控制的场景(如金融系统)。 - 单机或会话存储易维护的环境。 - **JWT 更适合**: - 跨域认证(如微服务、第三方登录)。 - 无状态 API 设计(如 RESTful 服务)[^2]。 #### 5. **代码示例(JWT 签发与验证)** ```python # 使用 PyJWT生成 Token import jwt secret_key = "your-secret-key" payload = {"user_id": 123, "exp": 1620000000} # 生成 Token token = jwt.encode(payload, secret_key, algorithm="HS256") # 验证 Token try: decoded = jwt.decode(token, secret_key, algorithms=["HS256"]) except jwt.ExpiredSignatureError: print("Token 已过期") ``` --- ### 总结对比表 | **维度** | **Session** | **JWT** | |----------------|---------------------------------|----------------------------------| | **存储位置** | 服务器端 | 客户端 | | **状态管理** | 有状态 | 无状态 | | **扩展性** | 依赖共享存储 | 天然支持分布式 | | **安全性** | 可主动废止 | 需额外机制废止 | | **网络开销** | 传输 Session ID(较小) | 传输完整 Token(较大) | --- §§ 1. JWT 如何实现 Token 的主动废止? 2. 如何防止 JWT Token 被截获后的重放攻击? 3. 在微服务架构中,SessionJWT 应如何选择? 4. JWT 的签名算法(如 HS256 和 RS256)有何区别? 5. 如何优化 Session 在分布式系统中的存储性能? [^1]: 引用1 [^2]: 引用2 [^3]: 引用3 [^4]: 引用4 [^5]: 引用5
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值