WEB安全(十三)Token认证的优势与劣势

最新推荐文章于 2025-07-13 23:47:56 发布
最新推荐文章于 2025-07-13 23:47:56 发布
阅读量4.7k 收藏 7
点赞数 4
CC 4.0 BY-SA版权
分类专栏: WEB安全 文章标签: web安全 安全 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/JinYJ2014/article/details/122992923
本文探讨了Token相对于Cookie+Session在身份验证、防止CSRF攻击、移动应用支持和单点登录方面的优势,同时也指出其无状态带来的问题和性能上的挑战。Token在移动端和安全性上有优势,但logout和权限变更的即时性较差,且存在额外的CPU验证开销。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、优势

token 相对于 Cookie + Session 的优势,主要有下面四个:

1、无状态

token 自身包含了身份验证所需要的所有信息,使得我们的服务器不需要存储 Session 信息,这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。

2、防止CSRF 攻击

CSRF(Cross Site Request Forgery) 一般被翻译为 跨站请求伪造,属于网络攻击领域范围。构成这个攻击的原因,就在于 Cookie + Session 的鉴权方式中,鉴权数据(cookie 中的 session_id)是由浏览器自动携带发送到服务端的,借助这个特性,攻击者就可以通过让用户误点攻击链接,达到攻击效果。而 token 是通过客户端本身逻辑作为动态参数加到请求中的,token 也不会轻易泄露出去,因此 token 在 CSRF 防御方面存在天然优势。

3、适合移动应用

移动端上不支持 cookie,而 token 只要客户端能够进行存储就能够使用,因此 token 在移动端上也具有优势。

4、单点登录友好

使用 Session 进行身份认证的话,实现单点登录,需要我们把用户的 Session 信息保存在一台电脑上,并且还会遇到常见的 Cookie 跨域的问题。但是,使用 token 进行认证的话, token 被保存在客户端,不会存在这些问题。

二、劣势

1、无状态问题

token 的无状态,导致了它最大的缺点:当后端在token 有效期内用户Logout或者更改它的权限的话,不会立即生效,如果没有增加额外的处理逻辑,则一般需要等到有效期过后才可以。

2、性能问题

JWT 的卖点之一就是加密签名,由于这个特性,接收方得以验证 JWT 是否有效且被信任。但是大多数 Web 身份认证应用中,JWT 都会被存储到 Cookie 中,这就是说你有了两个层面的签名。为此,你需要花费两倍的 CPU 开销来验证签名。对于有着严格性能要求的 Web 应用,这并不理想,尤其对于单线程环境。

token是什么?(概念+应用场景+优缺点
小草莓的博客
03-27 5466
总的来说,Token 作为一种身份验证和授权机制,具有便捷、安全等优点,但也需要注意安全性和管理问题。
Session+Redis,Token+Redis,JWT+Redis,用户身份认证,到底选择哪种更合适?
Java程序员专栏
05-31 1596
在选择用户身份认证方案时,需要根据具体的应用场景和需求进行评估和选择。如果应用需要长时间保持用户登录状态,且对性能要求不是特别高,可以选择Session+Redis方案。如果应用需要频繁验证用户身份,且对性能要求较高,可以选择Token+Redis方案。如果应用是分布式系统或微服务架构,需要实现无状态的身份验证和授权,可以选择JWT+Redis方案。需要注意的是,以上方案并不是孤立的,可以根据实际情况进行组合和优化,以满足特定的业务需求。同时,无论选择哪种方案,都需要确保系统的安全性和稳定性。
token带来的好处
抛弃幻想,准备斗争
02-16 4683
摘要: Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位 不久前,我在在前后端分离实践中提到了基于 Token认证,现在我们稍稍深入一些。 通常情况下,我们在讨论某个技术的时候,都是从问题开始。那么第一个问题: 为什么要用 Toke...
什么是 Token?一文搞懂身份验证中的“通行证”
2501_91858856的博客
04-29 750
由服务端生成一串随机字符串,结合用户 ID、时间戳等信息,用数据库记录其状态,验证时比对。
cookie,session,token优缺点
VIC1921507475的博客
02-10 3431
cookie 数据放在客户的浏览器上 优点: 1.减轻服务器性能方面,应当使用cookie。 缺点: 1.单个cookie保存的数据不能超过4K。 2.cookie不是很安全,别人可以分析存放在本地的cookie并进行cookie欺骗,考虑到安全应当使用session。 session数据放在服务器上。 优点: 1.session较安全 缺点: 1.session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,考虑到减轻服务器性能方面,应当使用cookie。 2.s
token优点_Token优势
weixin_33973572的博客
01-30 1815
该楼层疑似违规已被系统折叠隐藏此楼查看此楼token优势1.无状态、可扩展在客户端存储的Tokens是无状态的,并且能够被扩展。基于这种无状态和不存储Session信息,负载负载均衡器能够将用户信息从一个服务传到其他服务器上。如果我们将已验证的用户的信息保存在Session中,则每次请求都需要用户向已验证的服务器发送验证信息(称为Session亲和性)。用户量大时,可能会造成 一些拥堵。但是...
token会话的优势
aaaaaaaBBBBBCCC的博客
02-19 563
token会话的优势 1.不依赖cookie,方便服务器多系统端跨域访问 2.通过http头传输认证信息,支持多平台客户端
Go语言JWT认证实现:Web应用安全最佳实践
最新发布
大厂资深架构师
07-13 724
在当今Web应用开发中,安全认证是保护用户数据和系统资源的关键环节。JSON Web Token (JWT)作为一种轻量级、无状态的认证机制,已被广泛应用于现代Web系统中。本文将深入探讨JWT的工作原理,通过Go语言从零开始实现一个安全的JWT认证系统,并分享企业级应用中的最佳实践。我们将从基础概念讲起,逐步构建完整的认证流程,包括令牌生成、验证、刷新机制,以及如何防范常见的安全漏洞。无论你是Go语言新手还是有经验的开发者,本文都将帮助你掌握构建安全可靠认证系统的核心知识和实用技能。
常见Web认证方式对比
静水深流
06-27 1404
认证是一个在用户或者设备在访问一个受限的系统时,鉴定用户凭据的过程,即确认“你是谁”的问题。最常见的认证用户的方式是通过用户名和密码的形式进行校验,目前存在多种校验方式,本文将对其进行一个简单的对比,使得大家能够有一个较为完整的了解。基本身份验证内置于 HTTP 协议中,是最基本的身份验证形式。它使用 HTTP 标头,以便在向服务器发出请求时提供用户名和密码
Java中的Token
m0_65732083的博客
06-12 2907
Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。基于 Token 的身份验证使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。流程是这样的:客户端使用用户名跟密码请求登录服务端收到请求,去验证用户名密码验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端。
前端开发者认证指南:Cookie、SessionToken深度解读
[前端开发者认证指南:Cookie、SessionToken深度解读](https://www.analyticsmania.com/wp-content/uploads/2021/03/image-2021-03-17T115208.363.jpg) # 1. 会话管理基础认证机制概述 在互联网技术迅速发展的...
WebApi.Token安全机制
11-06
通过ajax分配相应的clientID和Secret及用户名和密码,后端利用owin进行处理并分配access_token,刷新token调用相应的ajax,根据已提供refresh_token进行刷新;测试页面click_me_please_iframe.html包含相应的刷新和认证,同时refresh_token以文件的形式进行存储,方便下次程序直接使用,不必要在产生新的token;开发工具是vs2015
基于token认证
最大努力的博客
08-06 4272
传统的认证系统 1.用户在登录域输入用户名和密码,然后点击登录 2.请求发送之后,通过在后端查询数据库验证用户的合法性。如果请求有效,使用在数据库得到的信息创建一个session,然后在响应头信息中返回这个session的信息,目的是把这个session ID存储在浏览器中 3.在访问应用中受限制的后端服务器提供这个session信息 4.如果session信息有效,允许用户访问受限制的后...
Token认证的好处和坏处是什么?
Miss.Fan的博客
12-11 1万+
token 这里我们说的token,是指 访问资源的凭据 。使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是 这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在localStorage中 客户端每次向...
传统tokenJwt区别及优缺点
qq_41369135的博客
05-08 5097
一、传统token 例子:传统token登陆过程 前端点击登陆,服务器验证账号密码成功 服务器生成令牌,本质是一个32位的uuid 将该令牌存到数据库或redis中,key是uuid,value是userId 把令牌返给客户端,客户端把令牌存在cookie中。 下次请求的时候就把令牌放在请求头里带上 从redis中验证该令牌是否过期 获取value内容userId 根据userId查询用户信息,再返回客户端 传统toke.
WEB后台--基于TokenWEB后台登录认证机制(并讲解其他认证机制以及cookie和session机制)
热门推荐
Jack__Frost的博客
03-22 2万+
继续这一个系列,WEB后台--基于TokenWEB后台登录认证机制(并讲解其他认证机制以及cookie和session机制)。每个后端不得不解决的认证问题。这篇博客会顺带讲解session和cookie机制,希望大家有所收获!!!
jjwt token 缺点
chuncui2576的博客
07-13 323
JWT缺点 , 之前没有考虑到 一旦拿到token, 可用它访问服务器,直到过期,中间服务器无法控制它,如是它失效(有解决方案: 在 token 中保存信息,可添加额外的验证,如加一个 flag, 把数据库对应的flag失效,来控制token有效性)。 token 的过期时间设置很关键,一般...
token优点_Token经济优劣分析
weixin_39586683的博客
12-20 236
Token经济又名通证经济,指的是利用区块链发行代币,通过代币激励,以期获得用户平台的共同增长经济模式。关于token经济的讨论一直是区块链行业中最热门的话题,特别在2017年牛市期间,有不少人认为token经济大势所驱,会变革生产方式;然而随着区块链市场逐步归于冷清,大家对token经济的发展也由早期的过于乐观,开始走向理性。那token经济的优势到底在哪,它真的会成为一种新的经济模式吗?潜在...
token优点_基于Token 认证和session 认证的比较
weixin_39537397的博客
12-20 273
前言:本文解决的问题基于session 认证的不足基于 token 认证的过程session VS tooken1.传统基于Cookie 认证的过程长期以来,基于Session的认证(Session based authentication)一直处于主流地位。由于http协议是无状态的,借助cookie,客户端登陆成功后,服务端就能识别其后续请求,而不需要每次都登陆。它是*有状态的(statefu...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值