JWT和Session的区别

1. 存储位置

2. 扩展性和分布式系统

3. 安全性

4. 携带方式

当涉及用户身份验证和授权时，JSON Web Token（JWT）和会话（Session）是两种常见的解决方案。它们有着不同的工作原理和特点。

一、JWT是一种开放标准（RFC 7519），它定义了一种紧凑且自包含的方式用于在各方之间安全地传输信息。JWT通常用于前后端分离的应用程序中。它由三部分组成：头部（Header）、载荷（Payload）和签名（Signature）。

其中，头部包含了令牌的元数据，载荷包含了实际的用户数据，而签名则用于验证令牌的真实性和完整性。JWT通过签发令牌，并将其发送给客户端，在客户端上保存该令牌，并在每次请求时发送该令牌给服务端进行验证，从而实现用户身份认证和授权。

JWT的优势在于它可以在不同的服务之间共享，并且不需要在服务端保存任何状态信息，因此可以更好地支持分布式系统。

二、会话是一种在服务端存储用户状态信息的机制。通常情况下，会话信息会以某种方式与用户的浏览器关联起来，最常见的方式是通过使用会话标识符（Session ID）来实现。

用户登录后，服务端会创建一个会话，并将会话ID返回给客户端，客户端在后续请求中将携带会话ID以保持会话状态。服务端会根据会话ID来查找对应的会话信息，并据此来识别用户身份和权限。

会话的优势在于它的安全性较高，因为会话信息存储在服务端，客户端无法直接篡改。同时，会话也可以支持灵活的会话管理策略，比如设置会话超时时间、定时刷新会话等。

三、区别

JWT（JSON Web Token）和会话（Session）在身份验证和授权方面有几个关键区别：

1. 存储位置

- JWT: JWT是一种无状态的认证机制，令牌本身包含了用户的身份信息以及相关的元数据，因此它不需要在服务端存储任何信息。所有必要的信息都被编码到JWT令牌中，因此服务端不需要存储用户的认证状态。
- 会话：会话则是在服务端存储用户的认证状态信息。通常情况下，会话信息存储在服务端的内存、数据库或者缓存中，客户端只保存一个会话标识符（Session ID），通过该标识符来查找服务端存储的会话信息。

2. 扩展性和分布式系统

- JWT: JWT非常适合于构建无状态的分布式系统，因为它可以轻松地在不同的服务之间共享，并且不需要在服务端保存任何状态信息。
- 会话：传统的会话机制更适合于单一服务的架构，对于分布式系统的扩展存在一定的挑战，需要考虑会话信息的一致性和共享。

3. 安全性

- JWT: JWT是通过签名来验证令牌的真实性和完整性，因此可以提供较高的安全性。然而，一旦JWT令牌生成后，在有效期内，无法主动撤销令牌的访问权限。
- 会话：会话信息存储在服务端，客户端无法直接修改会话状态，因此相对来说更安全。此外，服务端也可以主动管理会话状态，比如设置会话超时时间、主动撤销会话等。