session传递参数_JWT与Session的比较

6ca346a1914c9cffde03670bed45143b.png

如今,越来越多的项目开始采用JWT作为认证授权机制,那么它和之前的Session究竟有什么区别呢?今天就让我们来了解一下。

JWT是什么

定义

JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑和自包含的方式,用于在各方之间作为JSON对象安全地传输信息。作为标准,它没有提供技术实现,但是大部分的语言平台都有按照它规定的内容提供了自己的技术实现,所以实际在用的时候,只要根据自己当前项目的技术平台,到官网上选用合适的实现库即可。

特点

使用JWT来传输数据,实际上传输的是一个字符串,这个字符串就是所谓的json web token字符串。所以广义上,JWT是一个标准的名称;狭义上,JWT指的就是用来传递的那个token字符串。这个串有两个特点:

  1. 紧凑:指的是这个串很小,能通过url 参数,http 请求提交的数据以及http header的方式来传递;
  2. 自包含:这个串可以包含很多信息,比如用户的id、角色等,别人拿到这个串,就能拿到这些关键的业务信息,从而避免再通过数据库查询等方式才能得到它们。

结构

4a1b215248aa791db47e803f4a222ab5.png

它由三部分组成:header(头部)、payload(载荷)、signature(签名),以.进行分割。(这个字符串本来是只有一行的,此处分成3行,只是为了区分其结构)

  1. header用来声明类型(typ)和算法(alg)。
  2. payload一般存放一些不敏感的信息,比如用户名、权限、角色等。
  3. signature则是将header和payload对应的json结构进行base64url编码之后得到的两个串用英文句点号拼接起来,然后根据header里面alg指定的签名算法生成出来的。

和Session的区别

为什么我们要把JWT和Session做对比呢?因为我们主要在每一次请求的认证时会用JWT,在此之前我们都是用Session的。那这两者的区别在哪儿呢?

本身的含义

看了前面的介绍,我们发现JWT这个字符串其实本身就包含了关于用户的信息,比如用户名、权限、角色等。

Session传递的sessionId虽然是一个更简单的字符串,但它本身并没有任何含义。

所以一般说来JWT的字符串要比sessionId长,如果你在JWT中存储的信息越长,那么JWT本身也会越长。

而Cookie的存储容量是有限制的(通常为4KB),所以大家在使用的时候需要注意。

解析方法

JWT的header和payload其实是有json转变过来的,而signature其实就是一个加密后的字符串,因此解析起来较为简单,不需要其他辅助的内容。

sessionId是服务器存储的用户对象的标识,理论上需要一个额外的map才能找出当前用户的信息。

管理方法

JWT理论上用于无状态的请求,因此其用户管理也只是依赖本身而已。我们一般是在它的payload中加入过期时间,在不增加额外管理的情况下,它只有自动过期的方式。

Session因为它本就是存储在服务器端的,因此管理方案就有很多,而且大多都很成熟。

跨平台

JWT本身就是基于json的,因此它是比较容易跨平台的,可以从官网下载不同平台的包,解析即可。

session的跨平台可能就不那么好做了,需要考虑的地方在于用户信息存储的格式,ProtoBuf、json、xml等,管理的话可能就需要专门的统一登录平台,这个就不展开了。

时效性

无状态JWT一旦被生成,就不会再和服务端有任何瓜葛。一旦服务端中的相关数据更新,无状态JWT中存储的数据由于得不到更新,就变成了过期的数据。

session就不一样了,sessionId本身就没有太多含义,只需修改服务端中存储的数据即可。

适用场景

JWT

JWT的最佳用途是一次性授权Token,这种场景下的Token的特性如下:

  • 有效期短
  • 只希望被使用一次

真实场景的例子——文件托管服务,由两部分组成:

  • Web 应用:这是一个可以被用户登录并维持状态的应用,用户在应用中挑选想要下载的文件。
  • 文件下载服务:无状态下载服务,只允许通过密钥下载。

如何把JWT用在这个场景中呢?

  1. 用户登录到 Web 应用中,挑选好想要下载的文件,点击下载。
  2. 认证服务颁发包含下载信息的、具有较短过期时间的JWT。JWT中包含的信息可以是这样的:
{ "file": "/books/我这一辈子.pdf

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/505877.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

scp复制本地文件到远程服务器,scp 本地文件到远程服务器

linux中scp命令的使用linux远程拷贝文件命令:scp(scp:secure corp)(1)从本地拷贝文件到远程服务器scp/opt/script/test.pl root192.168.3.130:~/将本地/opt/scritp/文件夹下的test.pl脚本文件拷贝到远程服务器192.168.3.130的用户目录下...文章科技小能手2017-11-12758浏览量li…

keras 分布式_TensorFlow 2.0正式版官宣!深度集成Keras

新智元报道 来源:medium、GitHub编辑:小芹、大明【新智元导读】TensorFlow 2.0正式版终于发布了!深度集成Keras,更简单、更易用,GPU训练性能提升。这是一个革命性的新版本,欢迎来到 TensorFlow 2.0&#x…

新天龙官网服务器更新消息,新天龙八部怀旧服太火,增开7组服务器不够用,还得继续扩容...

原标题:新天龙八部怀旧服太火,增开7组服务器不够用,还得继续扩容最近《新天龙八部》怀旧服上线的消息,相信各位都有耳闻,作为国产最经典的网游之一,新天龙开怀旧服自然吸引了无数老玩家回归。而且还有很多路…

大疆云台如何使用华为mate20pro_华为Mate30+大疆灵眸Osmo3,让你的照片和短视频称霸朋友圈...

自华为Mate30国内上市以后,短短几天刷爆朋友圈,尤其是Mate30pro现在更是一机难求。华为Mate30pro打造了全球首款4000万像素电影级拍摄手机,华为Mate30pro支持7680帧超慢速摄影,支持4K HDR拍摄,以及双OIS防抖。2019年8月…

c语言int转字符串_C语言零基础入门-指针-05

C语言零基础入门-指针-05本节要点:1,字符指针。2,字符串指针。3,指针的参数传递4,多重指针01. 字符指针这里的定义与前面的基本一样,所谓的字符指针就是这个指针指向的是一个字符型的变量。01.1 单个字符代…

圆平移后的方程变化_平移法解题

提要平面内把一个图形沿着一定的方向移动一定的距离得到另一个图形,这种变换称为平移变换。根据需要,平移的对象可以是线段,直线,角,圆,整个图形等。平移只改变图形的位置,不改变图形的形状和大…

有没有什么方法快速能找到导致软件崩溃的进程_崩溃!电脑突然黑屏无法启动...

Hello!我是爽哥,欢迎你的到来,我会不定期推送关于电脑方面的实用教程及资讯,点击上方蓝色字体公众号名称“爽哥来搞机”关注我,实用干货全部拿走!什么?!为什么我的电脑一直黑屏无法开机了,昨天…

服务器内存会显示ecc么,服务器内存ecc

服务器内存ecc 内容精选换一换设备实时状态查询是检测设备在运行过程中的状态信息。用户可任选以下指令之一查看设备实时状态查询命令的可用参数。ascend-dmi -i -hascend-dmi -i --help各参数解释如表1所示。以查看芯片的详细信息为例。ascend-dmi -i -dt若推理服务器返回如图…

可燃气体浓度多少合格_安燃无恙 | 可燃气体报警器的常见故障处理

说到报警器可能大家都不陌生,在商场、家居住宅、银行等场合都能够看到报警器的存在,而且随着科技的发展还出现了远红外报警器、烟感报警器等多功能报警器。它们不仅被应用在防盗方面还应用在消防领域用于火灾预警,但是今天说的这一种报警器算…

ajax荷马史诗,荷马史诗(8)

《奥德赛》(Odyssey)奥德修斯的希腊文原意是“麻烦”:他既带给别人麻烦,自己也遭遇麻烦《埃阿斯和卡珊德拉》(Ajax and Cassandra)《荷马史诗》里有两个埃阿斯,上图的埃阿斯又称小埃阿斯(Ajax theLesser),特洛伊战争时罗克里斯(Lo…

nacos 本地测试_Nacos注册中心落地实践

前言公司在19年开始推进同城双活架构,未来规划是在南汇机房出现故障时能把所有读流量切到宝山机房,这样至少保证读请求是没问题的;我们的微服务使用的zookeeper来做服务发现, zk由于它的强一致性模型不适合多机房部署, 由于zk的服务发现模型是基于会话机制创建的临时节点, 就算…

python通讯录管理系统 tk_通讯录管理系统课程设计

按照惯例,一波课程设计走起~ 这次写的是通讯录管理系统,经过几番大修和N1次小修之后BUG已经很少了~先来看看期间遇到的哪些问题吧: Qusetion 1:针对手机号的排序问题(即交换结构体) 2:文件写入和…

h5与小程序服务器如何辨别,小程序丨教你六招,快速区分H5页面还是APP页面

限制的H5技术和原生APP的技术很多类似或者实现效果很相像,不仔细去观察,大多人不会察觉两种有何不同。第九程序帮大家整理出比较容易判断的一个APP页面是原生的还是H5页面的方法。希望可以帮到大家,以便更加容易区分H5页面和原生App页面。 一…

蜗轮蜗杆计算软件_正确的组装蜗轮蜗杆减速机至关重要

点 工业传动共享平台”关注置顶引领减速机传动机械前沿、机械视频,汽车、加工技术、3D打印、自动化、机器人、生产工艺、轴承、模具、机床、钣金等行业前沿在这里等你 正确组装蜗轮蜗杆减速机对于公司在任何工业应用中的生产率和盈利能力至关重要。不可避免…

双重差分模型能做固定效应吗_数据分析之道 | 双重差分法(DID)

Picture from InternetDID是什么?双重差分法(DID)又被称为“倍差法”,小名“差中差”,是种专门用于分析政策效果的计量方法。我国最早引入DID方法对公共政策评估的权威文献是周黎安和陈烨(2005),研究税费改革对农民收入增长的影响…

先出报表还是先计提所得税_一道大综合题搞定“与子公司的内部交易合并报表抵销分录”的逻辑...

有小朋友私信问我一道选择题,关于对子公司长期股权投资,存在内部交易时,合并报表抵销分录的问题。在跟她沟通的过程中,我了解到好多同学并不清楚单体报表,和母公司合并报表之间的关系,这导致大家很容易死记…

sql 百分号_SQL思维导图和代码分享

本人SQL新手,五一期间自学了《SQL必知必会》一书,在此简要分享学习心得,若有差错,请各位大佬们多多指教呀!本人的SQL学习计划是先根据《SQL必知必会》一书入门,了解SQL的整体框架,语法等&#x…

java获取字符串第一位_Java程序员经典面试题集大全 (十一)

>>> 学习交流群 < < <111. Java中byte表示的数值范围是什么&#xff1f;答&#xff1a;范围是-128至127112.如何将日期类型格式化为&#xff1a;2013-02-18 10:53:10&#xff1f;public class TestDateFormat2 {public static void main(String[] args) thro…

django开源电子文档管理系统_Python实操技术分享:Django文件管理系统,Apple的学习思路...

一、客户端产品要求有一个更新状态按钮&#xff0c;点击更新数据后会弹出结果页面作用是检查本次读取的文档信息与数据库中文档数据的区别。同时对数据库进行对应的新增和删除操作。然后把最终的数据库信息按行显示出来&#xff0c;包括4列内容文件名&#xff0c;文件路径&…

python打包出现乱码_python解压zip包中文乱码解决方法

乱码得原因&#xff1a; 由于ZipFile模块导出遇到中文解码不对&#xff0c;windows上会出现&#xff0c;linux是否会出现不知道没测试过。 解决方式&#xff1a; 1. 搞个文件名引射表(不太方便&#xff0c;少量文件夹套用时候还可以) 2. 修改源码解码格式(不太方便&#xff0c;…