jwt 与 sessionid 的区别及应用场景

在现代 Web 应用中,JWT(JSON Web Token)SessionID是两种常用的用户认证和状态管理机制。本文从两者的原理区别优缺点以及适用场景展开分析,结合常见问题提出了最佳实践建议,帮助开发者更好地选择和使用。


JWT与SessionID的区别及应用场景详解

在现代web应用开发中,JWT(JSON Web Token)SessionID是两种常用的身份验证机制。本文将从原理应用场景优缺点等角度深入剖析二者,帮助开发者在实际项目中做出合适的选择。


1. 原理解析

1.1 SessionID

  • 工作流程

    1. 用户登录后,服务器在内存中创建会话,并生成唯一的 SessionID
    2. SessionID 返回给客户端(通常通过 Cookie 存储)。
    3. 客户端每次请求时,携带 SessionID,服务器通过内存或数据库验证用户身份。
  • 数据存储

    • 用户状态数据存储在服务器的内存或外部存储(如 Redis)中。
  • 示意图

客户端  <--发送用户名密码-->  服务器<-- 生成SessionID 返回给客户端 -->
客户端  <--请求携带SessionID-->  服务器验证会话

1.2 sessionid 的结构与原理

SessionID 是服务端基于用户请求生成的唯一标识,通常保存在用户浏览器的 Cookie 中。它与服务端的存储(如内存、数据库或分布式缓存)绑定,用于记录用户的会话状态。

  • 客户端发起登录请求,服务端生成 SessionID 并保存用户状态。
  • SessionID 通过 Cookie 返回客户端,后续请求将附带该 Cookie,服务端校验并处理请求。

1.3 JWT

  • 工作流程

    1. 用户登录后,服务器生成一个加密签名的 JWT,包含用户信息和权限数据。
    2. JWT 返回给客户端,由客户端存储(通常存储在 Cookie 或 LocalStorage 中)。
    3. 客户端每次请求时携带 JWT,服务器解密验证其合法性,无需存储用户状态。
  • 数据存储

    • 用户状态数据编码在 JWT 本身中,服务器无需额外存储。
  • JWT 结构

    • Header:描述算法和类型。
    • Payload:存储用户信息和自定义数据。
    • Signature:对 Header 和 Payload 的签名。
  • 示意图

客户端  <--发送用户名密码-->  服务器<-- 返回JWT令牌 -->
客户端  <--请求携带JWT-->  服务器验证签名

1.4 jwt 的结构与原理

JWT 是一种开放标准(RFC 7519),用于在各方之间以紧凑且安全的方式传递信息。其结构由三部分组成:HeaderPayloadSignature

1. Header(头部)
描述 Token 使用的算法和类型,例如:

{"alg": "HS256", // 签名算法,如 HMAC SHA-256"typ": "JWT"    // Token 类型
}

2. Payload(载荷)
包含用户信息和其他声明(Claims),如:

{"sub": "1234567890", // 用户 ID"name": "John Doe",  // 用户名"iat": 1516239022    // 签发时间(Unix 时间戳)
}

3. Signature(签名)
用来校验 Token 的完整性。通过以下公式生成:

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),secret
)

3. jwt 与 sessionid 的区别
特性JWTSessionID
存储位置客户端(本地存储或 Cookie)服务端(Session 存储 + 客户端 Cookie)
状态管理无状态(Stateless)有状态(Stateful)
扩展性高(跨域、跨服务)较低(需服务端集中管理)
性能快速,无需服务端存储,但签名验证耗时需查询服务端状态,但无需验证签名
安全性有潜在安全风险(如泄露或重放攻击)更安全,但易受 Session 固化攻击
适用场景微服务、跨域登录单体应用、状态复杂的长会话

4. jwt 与 sessionid 的应用场景

4.1 JWT 的应用场景

  • 微服务架构:通过无状态的 Token,避免服务间的状态同步。
  • 移动端或前后端分离项目:减少服务端负载,提升响应速度。
  • 单点登录(SSO):允许跨域认证和用户会话共享。

4.2 SessionID 的应用场景

  • 状态复杂的系统:需要服务端管理用户状态(如购物车、游戏状态)。
  • 高安全性需求:如金融系统,通过服务端记录会话来防范滥用。

5. jwt 的优缺点

5.1 优点

  • 无状态:服务端无需存储用户会话信息。
  • 跨域支持:适合分布式应用。
  • 高性能:客户端自持 Token,减少服务端访问压力。

5.2 缺点

  • 安全性依赖签名机制,泄露后风险较大。
  • Token 长度较长,可能增加带宽开销。
  • 无法即时撤销,需额外实现黑名单机制。

6. 安全实践

JWT 的灵活性和高效性使其在现代应用中广受欢迎,但同时它也带来了安全风险。如果使用不当,可能会导致数据泄露或身份被冒用。以下是一些实用的安全实践,并结合示例说明。

6.1 短期有效期 + 刷新机制

将 JWT 的过期时间设置得尽量短(如 15 分钟),确保即使 Token 被泄露,攻击者也难以长期利用。为用户提供刷新机制,在 Token 即将过期时生成新 Token。

示例:设置短期有效期

// 生成 Token 时设置过期时间
Date now = new Date();
Date expiryDate = new Date(now.getTime() + 15 * 60 * 1000); // 15 分钟String token = Jwts.builder().setSubject(userId).setIssuedAt(now).setExpiration(expiryDate) // 设置过期时间.signWith(SignatureAlgorithm.HS256, SECRET_KEY) // 使用密钥签名.compact();

实现刷新机制

// 检查 Token 是否即将过期
if (token即将过期) {// 生成新的 TokenString newToken = generateToken(userId);// 返回新的 Token 给客户端response.addHeader("Authorization", "Bearer " + newToken);
}

6.2 敏感信息加密存储

JWT 的 Payload 可被解码,不能直接存储敏感信息。对于高度敏感的数据,如用户密码、交易信息,应加密存储或避免放入 JWT 中。

示例:AES 加密敏感信息

// 加密敏感信息
String sensitiveData = "userSecretInfo";
Cipher cipher = Cipher.getInstance("AES");
SecretKeySpec key = new SecretKeySpec(AES_KEY.getBytes(), "AES");
cipher.init(Cipher.ENCRYPT_MODE, key);
String encryptedData = Base64.getEncoder().encodeToString(cipher.doFinal(sensitiveData.getBytes()));// 将加密信息存入 JWT 的 Payload
String token = Jwts.builder().claim("data", encryptedData) // 存入加密后的数据.signWith(SignatureAlgorithm.HS256, SECRET_KEY).compact();

解密敏感信息

// 从 Token 中解密敏感信息
String encryptedData = claims.get("data", String.class);
cipher.init(Cipher.DECRYPT_MODE, key);
String sensitiveData = new String(cipher.doFinal(Base64.getDecoder().decode(encryptedData)));

6.3 使用 HTTPS 保护传输安全

JWT 在网络中传输时可能被中间人攻击拦截。通过 HTTPS 加密传输可以确保 Token 在网络层的安全性。

  • 确保所有服务均启用 HTTPS。
  • 在 Web 应用中配置 HTTP Strict Transport Security(HSTS)头,强制客户端使用 HTTPS。

示例:Spring Boot 配置 HTTPS

server:ssl:enabled: truekey-store: classpath:keystore.p12key-store-password: your-passwordkey-store-type: PKCS12

6.4 签名验证

确保服务器验证每个请求的 JWT 签名,避免伪造 Token 的攻击。

示例:验证签名

try {Claims claims = Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody(); // 解析并验证 TokenString userId = claims.getSubject(); // 获取用户信息
} catch (JwtException e) {throw new SecurityException("Invalid Token");
}

6.5 实现黑名单机制

如果某个 Token 被识别为非法(如用户登出或检测到异常行为),需要立即撤销该 Token。由于 JWT 无状态,需通过黑名单机制记录失效的 Token。

示例:Redis 存储黑名单

// 将失效的 Token 存入 Redis
redisTemplate.opsForValue().set("blacklist:" + token, true, expiryTime, TimeUnit.MILLISECONDS);// 检查请求中的 Token 是否在黑名单中
if (redisTemplate.hasKey("blacklist:" + token)) {throw new SecurityException("Token is invalid");
}

6.6 防范重放攻击

攻击者可能截获用户的合法请求并重复使用。通过以下方法防范:

  1. 添加随机标识(Nonce):确保每个请求唯一。
  2. 时间戳校验:Token 使用时间戳限制,过期即失效。

示例:使用时间戳校验

// Token 中增加时间戳字段
String token = Jwts.builder().claim("timestamp", System.currentTimeMillis()).signWith(SignatureAlgorithm.HS256, SECRET_KEY).compact();// 校验时间戳是否合理
long timestamp = claims.get("timestamp", Long.class);
if (System.currentTimeMillis() - timestamp > MAX_ALLOWED_DRIFT) {throw new SecurityException("Replay attack detected");
}

6.7 使用更安全的算法

尽量避免使用对称加密算法(如 HS256),而是采用非对称加密算法(如 RS256)。这样,服务器可以使用私钥签名,客户端用公钥验证,进一步提升安全性。

示例:RS256 签名与验证

// 签名
String token = Jwts.builder().setSubject(userId).signWith(privateKey, SignatureAlgorithm.RS256).compact();// 验证
Claims claims = Jwts.parserBuilder().setSigningKey(publicKey).build().parseClaimsJws(token).getBody();

6.8 限制 Token 权限与作用范围

通过字段限制 Token 的权限和适用场景,防止滥用。例如:

  • aud(Audience):指定 Token 仅用于特定 API。
  • scope:限制操作范围(如只允许读取数据)。

示例:设置权限字段

String token = Jwts.builder().claim("scope", "read").signWith(SignatureAlgorithm.HS256, SECRET_KEY).compact();// 校验 Token 是否有足够权限
if (!"read".equals(claims.get("scope", String.class))) {throw new SecurityException("Insufficient permissions");
}

通过上述安全实践,我们可以显著提升 JWT 的使用安全性,从而在保障性能的同时,减少潜在的安全风险。

7. 总结

JWT 和 SessionID 各有优势,具体选择需根据应用场景而定:

  • 无状态需求:优先考虑 JWT。
  • 安全性和灵活性:SessionID 是更好的选择。

在实际项目中,可以结合两者的优点。例如:

  • 使用 JWT 处理微服务中的用户认证。
  • 在服务端为 JWT 增加会话状态记录,提升安全性。

通过合理配置和优化,JWT 和 SessionID 都能满足现代 Web 应用的认证需求。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/63276.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

反向传播算法中的误差项

背景 在反向传播算法中&#xff0c;我们需要计算每个神经元的误差项&#xff0c;以便更新网络中的权重。对于输出层的神经元&#xff0c;误差项的计算公式如下&#xff1a; 其中&#xff1a; E是损失函数&#xff08;例如均方误差&#xff09;。 zk 是输出层神经元的加权输入&a…

数学建模之RSR秩和比综合评价法(详细)

RSR秩和比综合评价法 一、概述 秩和比法(Rank-sum ratio&#xff0c;简称RSR法)是我国学者田凤调于1988年提出的&#xff0c;田教授是我国杰出的卫生统计学家&#xff0c;该方法最初提出时用于解决医学卫生领域的综合评价问题&#xff0c;后经各领域学者的补充和完善&#xf…

android WebRtc 无法推流以及拉流有视频无声音问题

最近在开发使用WebRtc进行视频通话和语音通话&#xff0c;我使用的设备是MTK的手机&#xff0c;期间后台的技术人员几乎没法提供任何帮助&#xff0c;只有接口和测试的web端&#xff0c;有遇到不能推流。推流成功网页端有画面有声音&#xff0c;但是安卓端有画面&#xff0c;没…

RNACOS:用Rust实现的Nacos服务

RNACOS是一个使用Rust语言开发的Nacos服务实现&#xff0c;它继承了Nacos的所有核心功能&#xff0c;并在此基础上进行了优化和改进。作为一个轻量级、快速、稳定且高性能的服务&#xff0c;RNACOS不仅包含了注册中心、配置中心和Web管理控制台的功能&#xff0c;还支持单机和集…

OpenTK为SkiaSharp在.NET 环境下提供OpenGL支持,使其进行高效的2D渲染

前言 在 .NET 环境下&#xff0c;OpenTK 为 SkiaSharp 提供了 OpenGL 支持&#xff0c;使得 SkiaSharp 能够利用 OpenGL 进行高效的 2D 渲染。这种结合能够充分发挥 GPU 的加速能力&#xff0c;从而提升渲染性能&#xff0c;尤其是在需要进行复杂图形处理或频繁更新的应用中&a…

Linux-FrameBuffer设备(LCD)应用编程

本章学习 Linux 下的 Framebuffer 应用编程&#xff0c;通过对本章内容的学习&#xff0c;大家将会了解到 Framebuffer 设备究竟是什么&#xff1f;以及如何编写应用程序来操控 FrameBuffer 设备。 本章将会讨论如下主题。 ⚫ 什么是 Framebuffer 设备&#xff1f; ⚫ LCD 显示…

mobi文件转成pdf

将 MOBI 文件转换为 PDF 格式通常涉及两个步骤&#xff1a; 解析 MOBI 文件&#xff1a;需要提取 MOBI 文件的内容&#xff08;文本、图片等&#xff09;。将提取的内容转换为 PDF&#xff1a;将 MOBI 文件的内容渲染到 PDF 格式。 可用工具 kindleunpack 或 mobi&#xff1…

IDEA中MAVEN的一些设置问题

关于IDEA中MAVEN的一些设置问题 这三个配置的作业分别是什么呢&#xff1f; 在这张截图中&#xff0c;Maven的三个设置分别是&#xff1a; Maven home path (Maven主目录路径)&#xff1a; 这是Maven的安装路径&#xff0c;指向Maven的主目录。通常包含 bin、conf 等文件夹。用…

深入探索 Node.js:构建强大的后端应用

亲爱的小伙伴们&#x1f618;&#xff0c;在求知的漫漫旅途中&#xff0c;若你对深度学习的奥秘、JAVA 、PYTHON与SAP 的奇妙世界&#xff0c;亦或是读研论文的撰写攻略有所探寻&#x1f9d0;&#xff0c;那不妨给我一个小小的关注吧&#x1f970;。我会精心筹备&#xff0c;在…

量化交易系统开发-实时行情自动化交易-8.10.极智量化平台

19年创业做过一年的量化交易但没有成功&#xff0c;作为交易系统的开发人员积累了一些经验&#xff0c;最近想重新研究交易系统&#xff0c;一边整理一边写出来一些思考供大家参考&#xff0c;也希望跟做量化的朋友有更多的交流和合作。 接下来会对于极智量化平台介绍。 极智…

Java基本运算符

Java运算符分类 算术运算符 加&#xff0c;数值运算字符数拼接 - 减 * 乘 / 除数&#xff0c;求的——商 % 模&#xff0c;求的——余数(自增) --(自减) 只能用于变量不能用于常量 语法格式&#xff1a; 变量名变量名注意&#xff1a;一定把变量名或变量名看成是一个表达式 …

HBU深度学习实验14.5-循环神经网络(1.5)

梯度爆炸实验 造成简单循环网络较难建模长程依赖问题的原因有两个&#xff1a;梯度爆炸和梯度消失。一般来讲&#xff0c;循环网络的梯度爆炸问题比较容易解决&#xff0c;一般通过权重衰减或梯度截断可以较好地来避免&#xff1b;对于梯度消失问题&#xff0c;更加有效的方式…

Leetcode经典题4--查找数组中的多数元素+Boyer-Moore 投票算法

题目描述&#xff1a; 给定一个大小为 n 的数组 nums &#xff0c;返回其中的多数元素。多数元素是指在数组中出现次数 大于 ⌊ n/2 ⌋ 的元素。 你可以假设数组是非空的&#xff0c;并且给定的数组总是存在多数元素。 输入输出示例 输入&#xff1a;nums [2,2,1,1,1,2,2] 输出…

c++引用笔记

1 引用的基本使用 // 引用 // 作用&#xff1a;给变量起别名 // 语法&#xff1a;数据类型 &别名 原名int main(int argc, char const *argv[]) {int a 10;int &b a;cout << "a " << a << endl;cout << "b " <&l…

Qt Window应用程序去掉控制台窗口

Qt Window应用程序去掉控制台窗口 方式一 set(PROJECT_SOURCESWIN32main.cppmainwindow.hpp )add_executable(Tool-V2${PROJECT_SOURCES} )方式二 set_target_properties(Tool-V2 PROPERTIESMACOSX_BUNDLE TRUEWIN32_EXECUTABLE TRUE )参考文献&#xff1a; cmake Qt 项目…

android studio 读写文件操作(应用场景二)

android studio版本&#xff1a;2023.3.1 patch2 例程&#xff1a;readtextviewIDsaveandread 本例程是个过渡例程&#xff0c;如果单是实现下图的目的有更简单的方法&#xff0c;但这个方法是下一步工作的基础&#xff0c;所以一定要做。 例程功能&#xff1a;将两个textvi…

【NLP 9、实践 ① 五维随机向量交叉熵多分类】

目录 五维向量交叉熵多分类 规律&#xff1a; 实现&#xff1a; 1.设计模型 2.生成数据集 3.模型测试 4.模型训练 5.对训练的模型进行验证 调用模型 你的平静&#xff0c;是你最强的力量 —— 24.12.6 五维向量交叉熵多分类 规律&#xff1a; x是一个五维(索引)向量&#xff…

windows文件下换行, linux上不换行 解决CR换行符替换为LF notepad++

html文件是用回车换行的&#xff0c;在windows电脑上&#xff0c;显示正常。 文件上传到linux服务器后&#xff0c;文件不换行了。只有一行。而且相关js插件也没法正常运行。 用notepad查看&#xff0c;显示尾部换行符&#xff0c;是CR&#xff0c;这就是原因。CR是不被识别的。…

ES6关于解构的详细探讨,以及可能会出现的错误

ES6关于解构的详细探讨,以及可能会出现的错误 1.解构赋值时&#xff0c;如果等号右边是数值和布尔值&#xff0c;则会先转为对象。2.字符串的解构赋值,字符串被转换成了一个类似数组的对象3.默认值生效的条件是&#xff0c;对象的属性值严格等于undefined。4.不能使用圆括号的情…

Unity 模拟百度地图,使用鼠标控制图片在固定区域内放大、缩小、鼠标左键拖拽移动图片

效果展示&#xff1a; 步骤流程&#xff1a; 1.使用的是UGUI&#xff0c;将下面的脚本拖拽到图片上即可。 using UnityEngine; using UnityEngine.UI; using UnityEngine.EventSystems;public class CheckImage : MonoBehaviour, IDragHandler, IBeginDragHandler, IEndDragH…