本文探讨了接口服务验证和用户验证的传统方法,并重点介绍了Json Web Token(JWT)的工作原理,包括其Payload负载和Signature签名部分。讨论了签名的目的,同时也提醒了关于信息暴露的风险。最后,总结了JWT在实际使用中的优势和注意事项。
由于HTTP协定是不储存状态的,这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时就无法和之前的请求联系到一起。于是我们的程序就不知道谁是谁,就要再验证一次。
传统方式
在传统的项目中,使用的最多最简单的方式:前端登录,后端根据用户信息生成一个token并将这个 token 和对应的用户id进行存储或保存在Session中,然后把 token 传给用户,存入浏览器 cookie。之后浏览器的请求将带上这个cookie,后端根据这个cookie值来查询用户,验证是否过期。(tomcat提供sessionId管理)
在设置 cookie 的时候,其实你还可以设置 httpOnly 以及 secure 项。设置 httpOnly 后 cookie 将不能被 JS 读取,浏览器会自动的把它加在请求的 header 当中,设置 secure 的话,cookie 就只允许通过 HTTPS 传输。secure 选项可以过滤掉一些使用 HTTP 协议的 XSS 注入,但并不能完全阻止。
Session方式存储用户id的最大缺陷在于Session是存储在服务器端的,所以需要占用大量服务器内存,一般而言,大型集群应用还需要借助一些中间库数据库和一系列缓存机制来实现Session的存储和共享。
Session方式来存储用户id,一开始用户的Session只会存储在一台服务器上,这要求我们在多台服务器上同步Session。使用JWT的方式则没有这个问题的存在,因为用户的状态已由客户端管理。
Json Web Token(JWT)
JWT 是一个开放标准(RFC 7519),它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。它具备两个特点:
简洁(Compact)
可以通过URL, POST 参数或者在 HTTP header 发送,因为数据量小,传输速度快
自包含(Self-contained)
负载中包含了所有用户所需要的信息,避免了多次查询数据库
JWT 组成</
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
