JWT和Redis比较选型

一、Session

在这里插入图片描述

二、JWT

在这里插入图片描述
在这里插入图片描述

三、比较

基于JWT(JSON Web Token)Session身份验证之间的争论是现代 Web 开发中的一个要点。

  • JWT 身份验证:无状态。服务器生成一个令牌,客户端存储该令牌并随每个请求一起提供,服务端仅需按照JWT规则校验即可完成验证。
  • Session身份验证:有状态。服务器为用户创建会话,并将会话数据存储在服务器端,客户端仅保存会话标识符SessionId或Token,每次请求上传至后端进行验证和获取会话基本信息。
维度JWTRedis
扩展性- 无需在服务器端存储会话信息,易于扩展
- 可以与其他身份验证机制(如 OAuth)结合使用
- 可以存储大量的会话信息,适用于大规模应用
- 可以与其他功能(如缓存、消息队列)结合使用,提供更多扩展性
性能- 无需查询数据库或访问外部存储,验证速度较快
- 适用于简单的身份验证场景
- 需要与 Redis 服务器进行通信,可能会有网络延迟
- 适用于复杂的会话管理和存储需求
灵活性- 无需依赖外部存储,适用于分布式环境
- 可以自定义 payload 保存额外的用户信息
- 提供丰富的数据结构和操作命令,适用于各种场景
- 可以使用 Redis 提供的其他功能(如发布/订阅、事务)
复杂性- 需要在客户端和服务器端实现 JWT 的生成和验证逻辑
- 需要处理 JWT 的过期和刷新机制
- 需要在服务器端实现与 Redis 的交互逻辑
- 需要处理 Redis 的连接和错误处理
持久性- JWT 的有效期由过期时间决定,可以短暂或长期有效
- 可通过刷新令牌保持客户端状态
- Redis 提供持久化选项,可以将会话信息保存到磁盘上
安全性- 使用签名保证数据的完整性和真实性
- 无状态,不需要在服务器端存储会话信息
- 通过设置过期时间和权限验证提高安全性
- 可以使用 SSL/TLS 加密传输数据
- 需要在服务器端存储会话信息,需要确保 Redis 的安全性
缺点- 会话存在违规行为或Jwt密钥泄露,Redis可以立即从存储中删除会话,而JWT 列入黑名单则很棘手,在最坏的情况下,您只能等待令牌过期
- 如果您Jwt无状态令牌的荷载中记录了大量信息,存储和通讯将变得很重
- 会话在服务端存储在Redis中,会话验证一定程度带来更多开销
- 当更多用户进行身份验证时,为提升体验,需要更多分片来提升性能,意味着更多成本
优点- 可扩展性,由于其无状态特性,JWT 非常适合分布式系统
- 灵活性,它们可以跨不同的领域和应用程序使用
- 安全性,如果实施得当,它们可以提供一种安全的方式来处理用户身份验证
- 可靠性,服务器的会话记录充当集中的事实源,使管理用户会话变得简单
- 撤销效率,通过删除或使会话记录失效,可以快速撤销访问,确保最新的会话有效性
- 会话中可以存储更多且安全的信息

建议:

  • 在可信环境中,实体之间使用 JWT,例如授权服务之间的请求、……。
  • 在不可信源之间进行通信时,请使用基于会话的身份验证。




参考资料

https://dev.to/codeparrot/jwt-vs-session-authentication-1mol

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/869.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

LeetCode in Python 200. Number of islands (岛屿数量)

岛屿数量既可以用深度优先搜索也可以用广度优先搜索解决,本文给出两种方法的代码实现。 示例: 图1 岛屿数量输入输出示意图 方法一:广度优先搜索(bfs) 代码: class Solution:def numIslands(self, grid):if not grid:return 0…

IO综述·

阻塞模式 读写数据会发生阻塞现象。当用户线程发起IO请求之后,内核会查看数据检查就绪。如果没有就绪就会等待数据就绪。而用户线程会处于阻塞状态,用户线程交出CPU。当数据就绪之后,内核会将数据拷贝到用户线程,并返回结果给用户…

使用MyBatis插入数据并返回自动生成的ID

在使用MyBatis进行数据库操作时,经常会遇到需要插入数据并返回自动生成的主键ID的情况。为了解决这个问题,我们可以使用MyBatis提供的useGeneratedKeys和keyProperty属性。本文将介绍这两个属性的作用以及如何使用它们来实现插入数据并返回自动生成的ID。…

KMP算法(Python)

进阶的做法就是KMP算法,当然暴力也能ac。 KMP主要用一个nex列表,nex[i]存储(模式串needle中)从第0个到i个字符串s中的一个相等前后缀的最大长度。比如说对于aabaa来说,最大长度应该是(前缀aa)和…

Android12中JAVA项目中proto文件的编译方式

一. 起因 最近的工作有涉及到将原来Android9平台下的java工程防到Android12中编译,结果发现在Android9中可以编译的工程,没有修改Android.bp,在Android12中编译失败了,原因是java文件中以来项目中的proto文件生成的java类&#xf…

Linux下SPI设备驱动实验:验证读写SPI设备中数据的函数功能

一. 简介 前面文章实现了 SPI设备驱动框架,并在此基础上添加了字符设备驱动框架,实现了读 / 写SPI设备中数据的函数,文章如下: Linux下SPI设备驱动实验:向SPI驱动框架中加入字符设备驱动框架代码-CSDN博客 Linux下…

算法打卡day51|单调栈篇02| Leetcode 503.下一个更大元素II、42. 接雨水

算法题 Leetcode 503.下一个更大元素II 题目链接:503.下一个更大元素II 大佬视频讲解:503.下一个更大元素II视频讲解 个人思路 这道题和之前496.下一个更大元素 I 差不多,只是这道题需要循环数组,那就在遍历的过程中模拟走两遍nums就行&a…

mac修改/etc/profile导致终端所有命令不可使用

原因:配置docker环境的时候修改了/etc/profile,没想到导致悲惨事情,输入什么命令都是 Command not found 可恶!!!试了好久,最终这样搞定! 1-终端输入命令 因为sudo命令也不能直接…

本地主机搭建服务器后如何让外网访问?快解析内网端口映射

本地主机搭建应用、部署服务器后,在局域网内是可以直接通过计算机内网IP网络地址进行连接访问的,但在外网电脑和设备如何访问呢?由于内网环境下,无法提供公网IP使用,外网访问内网就需要一个内外网转换的介质。这里介绍…

使用Python实现时间序列预测模型

时间序列预测是一种重要的数据分析技术,它可以帮助我们预测未来的趋势和模式。在本文中,我们将介绍时间序列预测的基本原理和常见的预测模型,并使用Python来实现这些模型。 什么是时间序列预测? 时间序列预测是根据过去的观测数…

在PostgreSQL中如何创建和使用自定义函数,包括内置语言(如PL/pgSQL)和外部语言(如Python、C等)?

文章目录 一、使用内置语言 PL/pgSQL 创建自定义函数示例代码使用方法 二、使用外部语言 Python 创建自定义函数安装 PL/Python 扩展示例代码使用方法 三、使用外部语言 C 创建自定义函数编写 C 代码编译为共享库在 PostgreSQL 中注册函数注意事项 总结 PostgreSQL 是一个强大的…

前端数据类型大全及其区别总结

前端数据类型大全及其区别总结 基本数据类型引用数据类型Null 与 Undefined 的区别Map 与 Object 的区别Set 与 Array 的区别WeekMap 与 Map 的区别WeekSet 与 Set 的区别 基本数据类型 Number(数值类型),用于表示数字,包括整数和…

CSS基础:table的4个标签的样式详解(6000字长文!附案例)

你好,我是云桃桃。 一个希望帮助更多朋友快速入门 WEB 前端的程序媛。 云桃桃-大专生,一枚程序媛,感谢关注。回复 “前端基础题”,可免费获得前端基础 100 题汇总,回复 “前端工具”,可获取 Web 开发工具合…

记一次中间件宕机以后持续请求导致应用OOM的排查思路(server.max-http-header-size属性配置不当的严重后果)

一、背景 最近有一次在系统并发比较高的时候,数据库突然发生了故障,导致大量请求失败,在数据库宕机不久,通过应用日志可以看到系统发生了OOM。 二、排查 初次看到这个现象的时候,我还是有点懵逼的,数据库…

项目二:学会使用python爬虫请求库(小白入门级)

上一章已经了解python爬虫的基本知识,这一次让我们一起来学会如何使用python请求库爬取目标网站的信息。当然这次爬虫之旅相信我能给你带来不一样的体验。 目录 一、安装requests 库 简介 安装 步骤 1.requests的基本使用3步骤 2.查看所使用编码 3.设置编码…

Redis中BitMap在钉钉机器人中的应用

性能分析 数据库中有1000w用户,每个用户签到一次,对应两个字段 连续签到多少次 、签到时间。 签到时间字段占用10个字节,连续签到多少天 占用5个字节(假设一个用户能活100年,每天都签到,一个用户最多签到3…

前端框架技术革新历程:从原生DOM操作、数据双向绑定到虚拟DOM等框架原理深度解析,Web开发与用户体验的共赢

前端的发展与前端框架的发展相辅相成,形成了相互驱动、共同演进的关系。前端技术的进步不仅催生了前端框架的产生,也为其发展提供了源源不断的动力。 前端的发展 前端,即Web前端,是指在创建Web应用程序或网站过程中负责用户界面…

python对大乐透分析及预测

大乐透是一种基于概率的彩票游戏,其中每个号码的出现都是随机的、独立的,并且不受以前的结果影响。因此,使用Python对大乐透进行精确的分析和预测是极具挑战性的,因为彩票本质上是一个随机过程,不受任何可预测的模式或…

使用Azure AI Search和LlamaIndex构建高级RAG应用

RAG 是一种将公司信息合并到基于大型语言模型 (LLM) 的应用程序中的常用方法。借助 RAG,AI 应用程序可以近乎实时地访问最新信息,团队可以保持对其数据的控制。 在 RAG 中,您可以评估和修改各个阶段以改进结果&#x…

详解Qt中的JSON操作

JSON(JavaScript Object Notation)作为一种轻量级的数据交换格式,因其简洁的结构、易读性以及与多种编程语言的良好兼容性,在现代Web服务、API交互以及数据持久化场景中得到了广泛应用。Qt作为一款功能强大的跨平台应用开发框架&a…