写点东西《JWT 与会话身份验证》

写点东西《JWT 与会话身份验证》

  • 身份验证与授权
  • JWT 与session身份验证 - 基本差异
  • 什么是 JWT?
  • JWT 结构:
  • JWT 工作流程:
  • 优势:
  • 安全问题:
  • 处理令牌过期:
  • 基于session的身份验证(通常称为基于 cookie 的身份验证)
  • 工作原理:
  • 优势:
  • 缺点:
  • 结论:做出正确的身份验证选择
  • 🌟更多精彩

在这里插入图片描述

身份验证与授权

身份验证究竟是什么,它与授权有何不同?身份验证是验证某人身份的过程,而授权是验证用户可以访问哪些特定应用程序、文件和数据的过程。如何确保请求访问资源的人员就是他们声称的人员?并且一旦确认了他们的身份,如何控制他们可以做什么或看到什么?

JWT 与session身份验证 - 基本差异

JWT(JSON Web 令牌)与基于session的身份验证之间的争论是现代 Web 开发中的一个重要观点。

  • JWT 认证:在此,服务器生成一个令牌,客户端存储该令牌并在每次请求时出示。这是一种无状态方法,意味着服务器不需要保留令牌的记录。

  • 基于session的认证:相反,它是状态的。服务器为用户创建一个会话,并将会话数据存储在服务器端。客户端仅持有会话标识符,通常在 cookie 中。

什么是 JWT?

JSON Web 令牌 (JWT) 作为一种紧凑且独立的机制,用于以 JSON 对象的形式在各方之间安全地传输信息。

enter image description here

JWT 结构:

  • 标头:指定令牌类型 (JWT) 和签名算法(例如,HMAC SHA256)。
  • 有效负载:包含声明,即关于实体(用户)的陈述和附加元数据。
  • 签名:通过使用密钥对标头和有效负载进行编码而创建,确保令牌的完整性。

jwt_dia

JWT 工作流程:

  • 在用户认证时,服务器生成一个 JWT。
  • 此 JWT 会发送回客户端并进行存储,通常存储在本地存储或仅限 HTTP 的 Cookie 中。
  • 客户端在后续请求的 HTTP 授权标头中包含此令牌。
  • 服务器验证令牌,如果有效,则授予访问权限。

优势:

  • 可扩展性:由于无状态的特性,JWT 非常适合分布式系统。
  • 灵活性:它们可以在不同的域和应用程序中使用。
  • 安全性:正确实施后,它们提供了一种处理用户身份验证的安全方式。

安全问题:

  • 传输安全性:至关重要的是通过 HTTPS 传输 JWT。
  • 存储:安全地存储 JWT 以防止 XSS 攻击和其他漏洞。

处理令牌过期:

  • 实现短寿命 JWT 并使用刷新令牌来续订访问权限,而无需重新验证。 了解基于会话的身份验证

基于session的身份验证(通常称为基于 cookie 的身份验证)

是一种方法,其中服务器在维护用户身份验证记录方面发挥着关键作用。

工作原理:

  1. 用户认证:用户提供凭据,服务器验证。
  2. 会话创建:认证成功后,服务器创建一个包含唯一标识符、用户标识符、会话开始时间、过期时间以及可能包含的其他上下文信息(如IP地址和用户代理)的会话记录。将其存储在数据库中。
  3. Cookie 存储:将该会话标识符发送回用户浏览器,并存储为 cookie。
  4. 会话验证:用户浏览器的每个请求都包含此 cookie,服务器通过查询数据库验证会话。如果有效,则处理请求。

优势:

  • 简单性和可靠性:服务器的会话记录充当集中式真实来源,使其易于管理用户会话。
  • 撤销效率:可以通过删除或使会话记录无效来快速撤销访问权限,确保最新的会话有效性。

缺点:

  • 大规模性能问题:每次会话验证都依赖数据库交互可能会引入延迟,特别是对于高流量应用程序。
  • 动态环境中的延迟:在具有动态客户端的应用程序中,此延迟可能会影响用户体验,从而使基于会话的身份验证在这种情况下不太理想。

session_dia

结论:做出正确的身份验证选择

在 JWT 和基于会话的身份验证之间进行选择取决于您的应用程序的特定需求。如果您优先考虑无状态和可扩展性,JWT 可能是您的首选。对于立即控制会话至关重要的传统应用程序,基于会话的身份验证占上风。理解这些概念及其含义是开发安全高效的 Web 应用程序的关键。


🌟更多精彩

点击👉这里~~

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/654024.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

深度强化学习(王树森)笔记07

深度强化学习(DRL) 本文是学习笔记,如有侵权,请联系删除。本文在ChatGPT辅助下完成。 参考链接 Deep Reinforcement Learning官方链接:https://github.com/wangshusen/DRL 源代码链接:https://github.c…

java语言深度讨论

try-with-resource写法对构造器抛异常的处理 如果我们在类的构造器里抛出异常,try-with-resource写法是没法自动调close的。逻辑上很好理解,你对象都没成功创建,我为啥要调close啊。 从反编译的代码里也可以看出端倪: MyParser p…

Qt|大小端数据转换

后面打算写Qt关于网络编程的博客,网络编程就绕不开字节流数据传输,字节流数据的传输一般是根据协议来定义对应的报文该如何组包,那这就必然牵扯到了大端字节序和小端字节序的问题了。不清楚的大小端的可以看一下相关资料:大小端模…

类和对象:为什么C++推荐使用多态

优势: 在开发中追求开放扩展,封闭修改,多态的使用使得源程序可以更方便的进行扩展而不需要修改源代码。同时多态也使代码的可读性更强。 案例1:利用多态实现计算器类 class AbstractClaculator { public:virtual int getResult…

harr小波变换及其逆运算的推导及演示

哈尔小波(Haar wavelet)是最早提出的小波变换之一,它的变换和逆变换运算比较简单。对于一维信号(向量)的哈尔小波变换,可以分为两个步骤:分解步骤和重建(逆变换)步骤。 正向变换: 对于给定的四元组 (a, b, c, d),两次哈尔小波变换的过程如下: 第一次变换: 计算两…

c++线程thread示例

本文章记录c创建线程&#xff0c;启动线程和结束线程的代码。 需要注意&#xff0c;编译时需要添加-lpthread依赖。 代码&#xff1a; ThreadTest.h #ifndef TEST_THREAD_TEST_H #define TEST_THREAD_TEST_H#include <thread> #include <mutex>class ThreadTes…

【华为 ICT HCIA eNSP 习题汇总】——题目集11

1、某公司的内网用户采用 NAT 技术的 NO-pat 方式访问互联网&#xff0c;若所有的公网地址均被使用&#xff0c;则后续上网的内网用户会&#xff08;&#xff09;。 A、挤掉前一个用户&#xff0c;强制进行 NAT 转换上网 B、将报文同步到其他 NAT 转换设备上进行 NAT 转换 C、自…

springboot集成 Redis快速入门demo

一、准备redis环境 这里用docker-compose来搭建Redis测试环境&#xff0c;采用单机模式&#xff0c;具体配置如下&#xff1a; docker-compose-redis.yml version: 3 services:redis:image: registry.cn-hangzhou.aliyuncs.com/zhengqing/redis:6.0.8 # ima…

kafka详细解释

什么是kafka Kafka是一个开源的分布式流处理平台&#xff0c;最早由LinkedIn开发&#xff0c;并于2011年成为Apache软件基金会的顶级项目。Kafka使用高效、可扩展和持久化的方式处理流式数据&#xff0c;可以存储和处理大规模的实时数据流。Kafka的核心概念包括消息生产者、消息…

编程笔记 html5cssjs 064 JavaScrip语言规则

编程笔记 html5&css&js 064 JavaScrip语言规则 JavaScript 有哪些基本的语言规则&#xff1f; 接下来正式接触编程语言了&#xff0c;每一门语言都有一些基本的语言规则&#xff0c;这些规则有些在没有具体使用之前可能不好理解&#xff0c;初学者简单了解就可以了&…

牛客周赛30

思路&#xff1a;先把x, y除以最大公约数变成最小值&#xff0c;然后同时乘以倍数cnt&#xff0c;只记录两个数都在[l,r]间的倍数。 代码&#xff1a; int gcd(int a,int b){return b ? gcd(b, a % b) : a; }void solve(){int x, y, l, r;cin >> x >> y >>…

ubuntu中的rsyslog

目录 1. rsyslog简介 2. 查看/var/log 3. syslog的配置文件 3.1 /etc/rsyslog.d/50-default.conf 3.2 /etc/rsyslog.conf 4. 如何写入syslog 4.1 C语言 4.2 shell 4.3 内核输出 5. syslog.1和syslog.2.gz等文件是如何生成 6. logrotate是如何被执行 7. 如何限制sys…

【网络】WireShark过滤 | WireShark实现TCP三次握手和四次挥手

目录 一、开启WireShark的大门 1.1 WireShark简介 1.2 常用的Wireshark过滤方式 二、如何抓包搜索关键字 2.1 协议过滤 2.2 IP过滤 ​编辑 2.3 过滤端口 2.4 过滤MAC地址 2.5 过滤包长度 2.6 HTTP模式过滤 三、ARP协议分析 四、WireShark之ICMP协议 五、TCP三次握…

Jmeter学习系列之一:Jmeter的详细介绍

目录 一、Jmeter的介绍 二、Jemeter的特点 三、Jemter相关概念 3.1采样器&#xff08;Samplers&#xff09; 3.2逻辑控制器&#xff08;Logic Controllers&#xff09; 3.3监听器&#xff08;Listeners&#xff09; 3.4配置元件&#xff08;Configuration Elements&#…

Mac安装配置maven

Mac安装配置maven 官网下载地址&#xff1a;https://maven.apache.org/download.cgi 下载好以后解压配置 maven 环境变量 打开终端&#xff0c;输入命令打开配置文件./bash_profile open ~/.bash_profile输入i进入编辑模式,进行maven配置; MAVEN_HOME为maven的本地路径 ex…

Phoncent博客GPT写作工具

对于许多人来说&#xff0c;写作并不是一件轻松的事情。有时候&#xff0c;我们可能会遇到写作灵感枯竭、写作思路混乱、语言表达困难等问题。为了解决这些问题&#xff0c;Phoncent博客推出了一款创新的工具——GPT写作工具&#xff0c;它利用了GPT技术&#xff0c;为用户提供…

Springboot入门教程详解

Springboot入门教程详解 博客主页&#xff1a;划水的阿瞒的博客主页 欢迎关注&#x1f5b1;点赞&#x1f380;收藏⭐留言✒ 系列专栏&#xff1a;Springboot入门教程详解首发时间&#xff1a;&#x1f39e;2024年1月29日&#x1f3a0; 如果觉得博主的文章还不错的话&#xff0c…

vue+axios+promise实际开发用法

vueaxiospromise实际开发用法 vuex 核心 & 数据响应式原理 vuex 使用总结&#xff08;详解&#xff09; vue的双向绑定原理及实现 一、axios的介绍 axios 是由 promise 封装的一个 http 的库。 promise是 es6 为解决异步编程的。 什么是异步&#xff1f; 1. 不会按…

BERT-文本分类NER

BERT文本分类 训练样本 训练数据&#xff1a;18W条 评估数据&#xff1a;1W条 测试数据&#xff1a;1W条 体验2D巅峰 倚天屠龙记十大创新概览 8 60年铁树开花形状似玉米芯(组图) 5 同步A股首秀&#xff1a;港股缩量回调 2 中青宝sg现场抓拍 兔子舞热辣表演 8 锌价难续去年辉…

【大数据】Flink 架构(六):保存点 Savepoint

《Flink 架构》系列&#xff08;已完结&#xff09;&#xff0c;共包含以下 6 篇文章&#xff1a; Flink 架构&#xff08;一&#xff09;&#xff1a;系统架构Flink 架构&#xff08;二&#xff09;&#xff1a;数据传输Flink 架构&#xff08;三&#xff09;&#xff1a;事件…