自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

面試官:Session和JWT有什么區(qū)別?

作者:磊哥
開發(fā) 前端
JWT(JSON Web Token)是一種開放標準(RFC 7519),用于在網(wǎng)絡(luò)上安全傳輸信息的簡潔、自包含的方式。它通常被用于身份驗證和授權(quán)機制。

Session 和 JWT(JSON Web Token)都是用于在用戶和服務(wù)器之間建立認證狀態(tài)的機制,但它們在工作原理、存儲方式和安全性等方面存在著一些差異,下面我們一起來看。

1.什么是JWT?

Session 我們已經(jīng)很熟悉了,那什么是 JWT 呢?

JWT(JSON Web Token)是一種開放標準(RFC 7519),用于在網(wǎng)絡(luò)上安全傳輸信息的簡潔、自包含的方式。它通常被用于身份驗證和授權(quán)機制。

JWT 由三部分組成:頭部(Header)、載荷(Payload)和簽名(Signature)。

  • 頭部(Header):包含了關(guān)于生成該 JWT 的信息以及所使用的算法類型。
  • 載荷(Payload):包含了要傳遞的數(shù)據(jù),例如身份信息和其他附屬數(shù)據(jù)。JWT 官方規(guī)定了 7 個字段,可供使用:
  1. iss (Issuer):簽發(fā)者。
  2. sub (Subject):主題。
  3. aud (Audience):接收者。
  4. exp (Expiration time):過期時間。
  5. nbf (Not Before):生效時間。
  6. iat (Issued At):簽發(fā)時間。
  7. jti (JWT ID):編號。
  • 簽名(Signature):使用密鑰對頭部和載荷進行簽名,以驗證其完整性。

JWT 官網(wǎng):https://jwt.io/

2.JWT優(yōu)點分析

JWT 相較于傳統(tǒng)的基于會話(Session)的認證機制,具有以下優(yōu)勢:

  • 無需服務(wù)器存儲狀態(tài):傳統(tǒng)的基于會話的認證機制需要服務(wù)器在會話中存儲用戶的狀態(tài)信息,包括用戶的登錄狀態(tài)、權(quán)限等。而使用 JWT,服務(wù)器無需存儲任何會話狀態(tài)信息,所有的認證和授權(quán)信息都包含在 JWT 中,使得系統(tǒng)可以更容易地進行水平擴展。
  • 跨域支持:由于 JWT 包含了完整的認證和授權(quán)信息,因此可以輕松地在多個域之間進行傳遞和使用,實現(xiàn)跨域授權(quán)。
  • 適應微服務(wù)架構(gòu):在微服務(wù)架構(gòu)中,很多服務(wù)是獨立部署并且可以橫向擴展的,這就需要保證認證和授權(quán)的無狀態(tài)性。使用 JWT 可以滿足這種需求,每次請求攜帶 JWT 即可實現(xiàn)認證和授權(quán)。
  • 自包含:JWT 包含了認證和授權(quán)信息,以及其他自定義的聲明,這些信息都被編碼在 JWT 中,在服務(wù)端解碼后使用。JWT 的自包含性減少了對服務(wù)端資源的依賴,并提供了統(tǒng)一的安全機制。
  • 擴展性:JWT 可以被擴展和定制,可以按照需求添加自定義的聲明和數(shù)據(jù),靈活性更高。

總結(jié)來說,使用 JWT 相較于傳統(tǒng)的基于會話的認證機制,可以減少服務(wù)器存儲開銷和管理復雜性,實現(xiàn)跨域支持和水平擴展,并且更適應無狀態(tài)和微服務(wù)架構(gòu)。

3.JWT基本使用

在 Java 開發(fā)中,可以借助 JWT 工具類來方便的操作 JWT,例如 HuTool 框架中的 JWTUtil。

HuTool 介紹:https://doc.hutool.cn/pages/JWTUtil/

使用 HuTool 操作 JWT 的步驟如下:

  • 添加 HuTool 框架依賴
  • 生成 Token
  • 驗證和解析 Token

(1)添加 HuTool 框架依賴

在 pom.xml 中添加以下信息:

<dependency>
    <groupId>cn.hutool</groupId>
    <artifactId>hutool-all</artifactId>
    <version>5.8.16</version>
</dependency>

(2)生成 Token

Map<String, Object> map = new HashMap<String, Object>() {
private static final long serialVersionUID = 1L;
{
    put("uid", Integer.parseInt("123")); // 用戶ID
    put("expire_time", System.currentTimeMillis() + 1000 * 60 * 60 * 24 * 15); // 過期時間15天
}
};
JWTUtil.createToken(map, "服務(wù)器端秘鑰".getBytes());

(3)驗證和解析 Token

驗證 Token 的示例代碼如下:

String token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbImFsbCJdLCJleHAiOjE2MjQwMDQ4MjIsInVzZXJJZCI6MSwiYXV0aG9yaXRpZXMiOlsiUk9MRV_op5LoibLkuozlj7ciLCJzeXNfbWVudV8xIiwiUk9MRV_op5LoibLkuIDlj7ciLCJzeXNfbWVudV8yIl0sImp0aSI6ImQ0YzVlYjgwLTA5ZTctNGU0ZC1hZTg3LTVkNGI5M2FhNmFiNiIsImNsaWVudF9pZCI6ImhhbmR5LXNob3AifQ.aixF1eKlAKS_k3ynFnStE7-IRGiD5YaqznvK2xEjBew";
JWTUtil.verify(token, "123456".getBytes());

解析 Token 的示例代碼如下:

String rightToken = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwiYWRtaW4iOnRydWUsIm5hbWUiOiJsb29seSJ9.U2aQkC2THYV9L0fTN-yBBI7gmo5xhmvMhATtu8v0zEA";
final JWT jwt = JWTUtil.parseToken(rightToken);
jwt.getHeader(JWTHeader.TYPE);
jwt.getPayload("sub");

(4)代碼實戰(zhàn)

在登錄成功之后,生成 Token 的示例代碼如下:

// 登錄成功,使用 JWT 生成 Token
Map<String, Object> payload = new HashMap<String, Object>() {
    private static final long serialVersionUID = 1L;
    {
        put("uid", userinfo.getUid());
        put("manager", userinfo.getManager());
        // JWT 過期時間為 15 天
        put("exp", System.currentTimeMillis() + 1000 * 60 * 60 * 24 * 15);
    }
};
String token = JWTUtil.createToken(payload, AppVariable.JWT_KEY.getBytes());

例如在 Spring Cloud Gateway 網(wǎng)關(guān)中驗證 Token 的實現(xiàn)代碼如下:

import cn.hutool.jwt.JWT;
import cn.hutool.jwt.JWTUtil;
import com.example.common.AppVariable;
import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.http.HttpStatus;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.stereotype.Component;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;

import java.util.List;

/**
 * 登錄過濾器(登錄判斷)
 */
@Component
public class AuthFilter implements GlobalFilter, Ordered {
    // 排除登錄驗證的 URL 地址
    private String[] skipAuthUrls = {"/user/add", "/user/login"};

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        // 當前請求的 URL
        String url = exchange.getRequest().getURI().getPath();
        for (String item : skipAuthUrls) {
            if (item.equals(url)) {
                // 繼續(xù)往下走
                return chain.filter(exchange);
            }
        }
        ServerHttpResponse response = exchange.getResponse();
        // 登錄判斷
        List<String> tokens =
                exchange.getRequest().getHeaders().get(AppVariable.TOKEN_KEY);
        if (tokens == null || tokens.size() == 0) {
            // 當前未登錄
            response.setStatusCode(HttpStatus.UNAUTHORIZED);
            return response.setComplete();
        }
        // token 有值
        String token = tokens.get(0);
        // JWT 效驗 token 是否有效
        boolean result = false;
        try {
            result = JWTUtil.verify(token, AppVariable.JWT_KEY.getBytes());
        } catch (Exception e) {
            result = false;
        }
        if (!result) {
            // 無效 token
            response.setStatusCode(HttpStatus.UNAUTHORIZED);
            return response.setComplete();
        } else { // 判斷 token 是否過期
            final JWT jwt = JWTUtil.parseToken(token);
            // 得到過期時間
            Object expObj = jwt.getPayload("exp");
            if (expObj == null) {
                response.setStatusCode(HttpStatus.UNAUTHORIZED);
                return response.setComplete();
            }
            long exp = Long.parseLong(expObj.toString());
            if (System.currentTimeMillis() > exp) {
                // token 過期
                response.setStatusCode(HttpStatus.UNAUTHORIZED);
                return response.setComplete();
            }
        }
        return chain.filter(exchange);
    }

    @Override
    public int getOrder() {
        // 值越小越早執(zhí)行
        return 1;
    }
}

4.JWT實現(xiàn)原理

JWT 本質(zhì)是將秘鑰存放在服務(wù)器端,并通過某種加密手段進行加密和驗證的機制。加密簽名=某加密算法(header+payload+服務(wù)器端私鑰),因為服務(wù)端私鑰別人不能獲取,所以 JWT 能保證自身其安全性。

5.Session VS JWT

Session 和 JWT 的區(qū)別主要有以下幾點:

  • 工作原理不同:Session 機制依賴于服務(wù)器端的存儲。當用戶首次登錄時,服務(wù)器會創(chuàng)建一個會話,并生成一個唯一的會話 ID,然后將這個 ID 返回給客戶端(通常是通過Cookie)??蛻舳嗽诤罄m(xù)的請求中會攜帶這個會話 ID,服務(wù)器根據(jù)會話ID來識別用戶并獲取其會話信息;而 JWT 是一種無狀態(tài)的認證機制,它通過在客戶端存儲令牌(Token)來實現(xiàn)認證。當用戶登錄時,服務(wù)器會生成一個包含用戶信息和有效期的 JWT,并將其返回給客戶端??蛻舳嗽诤罄m(xù)的請求中會攜帶這個 JWT,服務(wù)器通過驗證 JWT 的有效性來識別用戶。
  • 存儲方式不同:Session 信息存儲在服務(wù)器端,通常是保存在內(nèi)存或數(shù)據(jù)庫中。這種方式需要服務(wù)器維護會話狀態(tài),因此在分布式系統(tǒng)或微服務(wù)架構(gòu)中,會話信息的共享和同步可能會成為問題;而 JWT信息存儲在客戶端,通常是保存在瀏覽器的本地存儲或 HTTP 請求的頭部中。這種方式無需服務(wù)器維護會話狀態(tài),使得 JWT 在分布式系統(tǒng)或微服務(wù)架構(gòu)中更加靈活和易于擴展。
  • 有效期和靈活性不同:Session 的有效期通常由服務(wù)器控制,并且在會話期間用戶狀態(tài)可以在服務(wù)器端動態(tài)改變。但這也意味著服務(wù)器需要管理會話的生命周期;而 JWT 的有效期可以在令牌生成時設(shè)置,并且可以在客戶端進行緩存和重復使用。這使得 JWT 在需要頻繁訪問資源且不需要頻繁更改用戶狀態(tài)的場景中更加適用。此外,JWT 還支持在令牌中包含自定義的用戶信息,提供了更大的靈活性。

課后思考

既然 JWT 的有效期是在令牌生成時設(shè)置的,那如何實現(xiàn) JWT 的自動續(xù)期呢?又如何將已經(jīng)泄漏的 JWT 令牌作廢呢?

責任編輯:姜華 來源: Java中文社群
JWTSession傳輸信息
相關(guān)推薦

2023-02-17 08:10:24

2024-09-19 08:42:43

2021-11-30 07:44:50

FinalFinallyFinalize

2021-12-10 12:01:37

finalfinallyfinalize

2021-12-13 06:56:45

Comparable元素排序

2024-03-20 15:12:59

KafkaES中間件

2021-12-23 07:11:31

開發(fā)

2023-02-09 07:01:35

轉(zhuǎn)發(fā)重定向Java

2023-07-11 08:40:02

IO模型后臺

2023-02-20 07:19:14

2023-12-13 13:31:00

useEffect對象瀏覽器

2022-05-16 11:04:43

RocketMQPUSH 模式PULL 模式

2024-03-26 16:24:46

分布式事務(wù)2PC3PC

2022-08-02 08:23:37

SessionCookies

2025-03-12 08:45:15

函數(shù)聲明函數(shù)表達式IIFE

2021-12-27 06:57:40

This SuperJava

2023-12-06 09:10:28

JWT微服務(wù)

2023-12-05 09:33:08

分布式事務(wù)

2021-05-10 08:01:12

BeanFactoryFactoryBean容器

2022-08-22 07:06:32

MyBatisSQL占位符
點贊
收藏

51CTO技術(shù)棧公眾號