Jwt vs Session 认证

认证与授权 认证和授权有什么区别？认证指的是验证某人的身份，而授权则是确定用户能够访问哪些特定应用、文件和数据的过程。如何确保请求访问资源的人真的是他们所声称的那个人呢？一旦确定了他们的身份，又该如何控制他们能做什么或看到什么？

JWT 与会话认证 - 基本区别 在现代网络开发中，JWT（JSON Web Token）与基于会话的认证之间的辩论非常重要。

JWT 认证：服务器生成一个令牌，客户端将其保存，并在每次请求时提供。这是一种“无状态”的方法，即服务器无需保存令牌的记录。

基于会话的认证：与之相反，这是一种“有状态”的方式。服务器为用户创建一个会话，并在服务器端保存会话数据。客户端只保存一个会话标识符，通常存在 cookie 中。

什么是 JWT？ JSON Web Token（JWT）是一种紧凑且自包含的机制，它可以安全地在双方间以 JSON 对象形式传递信息。

JWT 结构： 头部：指明令牌的类型（JWT）和签名算法（如 HMAC SHA256）。 有效载荷：包含关于用户的声明和附加元数据。 签名：通过使用秘密对头部和有效载荷进行编码来生成，确保令牌的完整性。

JWT 如何运作： 用户认证后，服务器生成一个 JWT。 这个 JWT 发送回客户端并被存储，通常在本地存储或仅通过 HTTP 的 cookie 中。 客户端在后续请求的 HTTP 授权头中包含此令牌。 服务器验证令牌的有效性，若有效则授予权限。 优点： 可伸缩性：JWT 适合分布式系统，因为它们是无状态的。 灵活性：JWT 可跨不同域和应用使用。 安全性：如果正确实施，JWT 可以安全地处理用户认证。 安全隐患： 传输安全：必须通过 HTTPS 传输 JWT。 存储安全：安全存储 JWT，以防 XSS 攻击和其他安全漏洞。 处理令牌过期：使用短期 JWT，并通过刷新令牌来更新访问权限，无需重新认证。 理解基于会话的认证 基于会话的认证，也称为基于 cookie 的认证，是一种依赖服务器来维护用户认证记录的方法。

它是如何工作的： 用户认证：用户提供凭证，服务器进行验证。 会话创建：认证成功后，服务器创建一个包含唯一标识符、用户标识符、会话开始和结束时间，可能还包括 IP 地址和用户代理等额外信息的会话记录，并存储在数据库中。 Cookie 存储：会话标识符被发送回用户浏览器并以 cookie 形式存储。 会话验证：用户浏览器的每次请求都包含这个 cookie，服务器通过查询数据库来验证会话的有效性。如果有效，便处理请求。 优点： 简单性和可靠性：服务器的会话记录是一个集中的真实来源，便于管理用户会话。 撤销效率：可以通过删除或使会话记录无效来快速撤销访问权限，确保会话始终有效。 缺点： 规模增大时的性能问题：每次会话验证都依赖数据库交互，可能在高流量应用中引入延迟。 动态环境中的延迟：在动态客户端的应用中，这种延迟可能影响用户体验，使基于会话的认证在这些场景中不那么理想。

结论：做出正确的认证选择 在 JWT 和基于会话的认证之间的选择取决于您的应用需求。如果您重视无状态和可伸缩性，JWT 可能是更好的选择。对于需要即时控制会话的传统应用，基于会话的认证更有优势。理解这些概念及其含义对于开发安全高效的网络应用至关重要。