2. 程式人生 > >JWT與Session的比較

JWT與Session的比較

阿新 發佈:2019-09-17

如今,越來越多的專案開始採用JWT作為認證授權機制,那麼它和之前的Session究竟有什麼區別呢?今天就讓我們來了解一下。

JWT是什麼

定義

JSON Web Token(JWT)是一個開放標準(RFC 7519),它定義了一種緊湊和自包含的方式,用於在各方之間作為JSON物件安全地傳輸資訊。作為標準,它沒有提供技術實現,但是大部分的語言平臺都有按照它規定的內容提供了自己的技術實現,所以實際在用的時候,只要根據自己當前專案的技術平臺,到官網上選用合適的實現庫即可。

特點

使用JWT來傳輸資料,實際上傳輸的是一個字串,這個字串就是所謂的json web token字串。所以廣義上,JWT是一個標準的名稱;狹義上,JWT指的就是用來傳遞的那個token字串。這個串有兩個特點:

  1. 緊湊:指的是這個串很小,能通過url 引數,http 請求提交的資料以及http header的方式來傳遞;
  2. 自包含:這個串可以包含很多資訊,比如使用者的id、角色等,別人拿到這個串,就能拿到這些關鍵的業務資訊,從而避免再通過資料庫查詢等方式才能得到它們。

結構

它由三部分組成:header(頭部)、payload(載荷)、signature(簽名),以.進行分割。(這個字串本來是隻有一行的,此處分成3行,只是為了區分其結構)

  1. header用來宣告型別(typ)和演算法(alg)。
  2. payload一般存放一些不敏感的資訊,比如使用者名稱、許可權、角色等。
  3. signature則是將header
    payload對應的json結構進行base64url編碼之後得到的兩個串用英文句點號拼接起來,然後根據header裡面alg指定的簽名演算法生成出來的。

Session的區別

為什麼我們要把JWTSession做對比呢?因為我們主要在每一次請求的認證時會用JWT,在此之前我們都是用Session的。那這兩者的區別在哪兒呢?

本身的含義

看了前面的介紹,我們發現JWT這個字串其實本身就包含了關於使用者的資訊,比如使用者名稱、許可權、角色等。

Session傳遞的sessionId雖然是一個更簡單的字串,但它本身並沒有任何含義。

所以一般說來JWT的字串要比sessionId長,如果你在JWT

中儲存的資訊越長,那麼JWT本身也會越長。

Cookie的儲存容量是有限制的(通常為4KB),所以大家在使用的時候需要注意。

解析方法

JWT的header和payload其實是有json轉變過來的,而signature其實就是一個加密後的字串,因此解析起來較為簡單,不需要其他輔助的內容。

sessionId是伺服器儲存的使用者物件的標識,理論上需要一個額外的map才能找出當前使用者的資訊。

管理方法

JWT理論上用於無狀態的請求,因此其使用者管理也只是依賴本身而已。我們一般是在它的payload中加入過期時間,在不增加額外管理的情況下,它只有自動過期的方式。

Session因為它本就是儲存在伺服器端的,因此管理方案就有很多,而且大多都很成熟。

跨平臺

JWT本身就是基於json的,因此它是比較容易跨平臺的,可以從官網下載不同平臺的包,解析即可。

session的跨平臺可能就不那麼好做了,需要考慮的地方在於使用者資訊儲存的格式,ProtoBuf、json、xml等,管理的話可能就需要專門的統一登入平臺,這個就不展開了。

時效性

無狀態JWT一旦被生成,就不會再和服務端有任何瓜葛。一旦服務端中的相關資料更新,無狀態JWT中儲存的資料由於得不到更新,就變成了過期的資料。

session就不一樣了,sessionId本身就沒有太多含義,只需修改服務端中儲存的資料即可。

適用場景

JWT

JWT的最佳用途是一次性授權Token,這種場景下的Token的特性如下:

  • 有效期短
  • 只希望被使用一次

真實場景的例子——檔案託管服務,由兩部分組成:

  • Web 應用:這是一個可以被使用者登入並維持狀態的應用,使用者在應用中挑選想要下載的檔案。
  • 檔案下載服務:無狀態下載服務,只允許通過金鑰下載。

如何把JWT用在這個場景中呢?

  1. 使用者登入到 Web 應用中,挑選好想要下載的檔案,點選下載。
  2. 認證服務頒發包含下載資訊的、具有較短過期時間的JWT。JWT中包含的資訊可以是這樣的:
{
    "file": "/books/我這一輩子.pdf",
    "exp": 1500719759621
}
  1. 使用 JWT 從檔案下載服務下載檔案。

Session

Session比較適用於Web應用的會話管理,其特點一般是:

  • 許可權多,如果用JWT則其長度會很長,很有可能突破Cookie的儲存限制。
  • 基本資訊容易變動。如果是一般的後臺管理系統,肯定會涉及到人員的變化,那麼其許可權也會相應變化,如果使用JWT,那就需要伺服器端進行主動失效,這樣就將原本無狀態的JWT變成有狀態,改變了其本意。

總結

我們使用JWT,並不是說看到它新就用,而應該考慮其適用場景,如果需要進行管理,可以考慮使用Session,畢竟其方案更加成熟。如果大家有什麼新發現想和作者探討的,歡迎在下方留言。

有興趣的話可以關注我的公眾號,說不定會有意外的驚喜。

相關推薦

JWTSession比較

如今,越來越多的專案開始採用JWT作為認證授權機制,那麼它和之前的Session究竟有什麼區別呢?今天就讓我們來了解一下。 JWT是什麼 定義 JSON Web Token(JWT)是一個開放標準(RFC 7519),它定義了一種緊湊和自包含的方式,用於在各方之間作為JSON物件安全地傳輸資訊。作為標準,

【JAVA】JWT cookie session

共享session相信大家都用過,為了解決http無狀態的問題,都會通過cookie、session共享來解決使用者狀態共享的問題,一般都是通過cookie來儲存sessionid,服務端通過sessionid在記憶體中取出使用者的資訊,做後續操作。但是在前後端分離越來越流行的情況下,cooki

CookieSession

splay 器) 簡化 技術 本質 ear 服務 默認 緩存 1、Cookie 介紹 Cookie是由服務器端生成,發送給User-Agent(一般是瀏覽器),瀏覽器會將Cookie的key/value保存到某個目錄下的文本文件內,下次請求同一網站時就發送該C

cookiesession的區別

分析 單個 session strong 使用 占用 安全性 服務器性能 存在 Cookie與session的區別;     01,Cookie的數據存放在客戶的瀏覽器上;session的數據存放在服務器上     02,Cookie不是很安全,別人可以分析存放在本地的co

Cookiesession區別

瀏覽器 cookie 通信設備 session與Cookie的區別此文章 來自烏龜運維wuguiyunwei.comQQ群:602183872主要區別:Cookie,也稱為HTTP cookie,Web cookie或瀏覽器cookie,是從網站發送到服務器並存儲在用戶的Web瀏覽器中的一小部分數

認證 協議 JWT OAuth Session Cookie

cot ack 後端 tel 曾經 pin algo col 會話 本文翻譯自Auth-Boss。 如果有翻譯的不恰當或不對的地方, 歡迎指出。 成為一個認證老司機, 了解網絡上不同的身份認證方法。 本文檔的目的是記錄和編目Web上的身份驗證方法。認證指的是創建一個

cookie session

問題 fopen com eat 必須 www 大小限制 文件操作函數 提示 cookie簡介 Cookie是存儲在客戶端瀏覽器中的數據,我們通過Cookie來跟蹤與存儲用戶數據。一般情況下,Cookie通過HTTP headers從服務端返回到客戶端。多數web程序都支持

NginxApache比較

一個 性能 影響 lec rewrite 定性 poll 超過 內存 Nginx特點:高性能epoll 異步非阻塞多個連接(萬級別)可以對應一個進程 支持反向代理支持7層負載均衡靜態文件、反向代理、前端緩存等處理方便支持高並發連接,每秒最多的並發連接請求理論可以達到 500

nodejs cookiesession

ole org con only 中間件 通過 rip 存在 null cookie、session cookie:在瀏覽器保存一些數據,每次請求都會帶過來 *不安全、有限(4K) session:保存數據,保存在服務端 *安全、無限 -----------------

logbacklog4j比較

通用 商業 歸檔日誌 alice 應用 條件 工作量 控制 deb 更快的執行速度: 基於我們先前在log4j上的工作,logback 重寫了內部的實現,在某些特定的場景上面,甚至可以比之前的速度快上10倍。在保證logback的組件更加快速的同時,同時所需的內存更加少

JavaWeb(二)cookiesession的應用

i++ ren ecc 根據 dom dbo thead .cn ram 前言   前面講了一堆虛的東西,所以這篇我們來介紹一下cookie和session的應用。 一、使用cookie記住用戶名 1.1、思路介紹    1.2、實現代碼   1)LoginSe

cookiesession的作用執行方式

cookie與session的作用與執行方式問題:瀏覽器與服務器請求與返回過程中,cookie跟session有什麽用?1.cookie# 服務器端產生cookie,cookie是存在瀏覽器中; # 瀏覽器在請求服務器端之後,服務器端想在瀏覽器端保存一些數據; # 服務器就會創建一個cookie,在返回請求相

pg oracle 比較

sce targe 調整 類型 out oal iso oracle ger 所謂動態引擎,就是說比如有很多張表的Join,原始的做法是一開始就生成好這個執行計劃,隨後執行,但實際上很多表Join的時候,你一開始生成的那個執行計劃很有可能是不對的。 那麽動態執行計劃就是指它

4. Beego 框架之cookiesession

文件夾 emca 添加 入口 on() eth string mysql func what is cookie? cookie是存儲在客戶端的,用於標識客戶身份的! what is session session 是存儲在服務端,也是用於客戶身份標識,用於跟蹤用戶會話。

PHP中CookieSession的異同以及使用

重寫 不容易 包含 ron pat 指示 修改表 持久 pri Cookie與Session的異同: 一、cookie機制 Cookies是服務器在本地機器上存儲的小段文本並隨每一個請求發送至同一個服務器。IETF RFC 2965 HTTP State Managemen

Cookie Session使用詳解

method IT OS tro 創建 main 網站 strong see 1、Cookie和Session簡介與區別 在非常多時候,我們需要跟蹤瀏覽者在整個網站的活動,對他們身份進行自動或半自動的識別(也就是平時常說的網站登陸之類的功能),這時候,我們常采用Cooki

TCPUDP比較 以及並發編程基礎知識

引用 層次 系統調用 指示 核心 () 樹形結構 list 設計 一、tcp比udp真正可靠地原因 1.為什麽tcp比udp傳輸可靠地原因: 我們知道在傳輸數據的時候,數據是先存在操作系統的緩存中,然後發送給客戶端,在客戶端也是要經過客戶端的操作系統的,因為這個過程涉及到

04_web基礎(五)之cookiesession

blog 輸出 import inter 會話跟蹤 問題 odi close 成功 29.Http協議無記憶帶來的問題   什麽是會話:可簡單理解為:用戶開一個瀏覽器,訪問某一個web站點,在這個站點點擊多個超鏈接,訪問服務器多個web資源,然後關閉瀏覽器,整個過程稱之為一

Java基礎教程:HashTableHashMap比較

唯一性 trac 並發 con 元素 散列表 個數 AR 底層 Java基礎教程:HashTable與HashMap比較 1. 關於HashMap的一些說法: a) HashMap實際上是一個“鏈表散列”的數據結構,即數組和鏈表的結合體。HashMap的底層結構是一個數

stringstringbuffer比較執行速度

sin pri ring RR 速度 sys 對象 image ren /** * string與stringbuffer比較 * * @since */ public void StringCompareStrin