Cookie、Session、Token、JWT ​

Session 介绍 ​

Session 的优势 ​

• 相比 JWT，最大的优势在于可以主动清除 Session
• Session 保存在服务器短，相对较为安全
• 结合 cookie 使用，较为灵活，兼容性较好

Session 的劣势 ​

• cookie + session 在跨域场景表现并不好
• 如果是分布式部署，需要做多机共享 session 机制
• 基于 cookie 的机制很容易被 CSRF（跨站请求伪造）
• 查询 Session 信息可能会有数据库查询操作

JWT 介绍 ​

什么是 JWT ​

jwt 是 json web token 的圈层，它解决了 session 以上的问题，优点是服务器不保存任何会话数据，即服务器变为无状态，使其更容易扩展

JWT 的构成 ​

Header（头部）+ Payload（有效载荷）+ Signature（签名）

Header ​

• typ：token 的类型，这里固定位 JWT
• alg：使用 hash 算法，例如：RSA、SHA256 或者 HMAC

Payload ​

• 存储需要传递的信息，如用户 ID、用户名等
• 包含元数据，如过期时间、发布人等
• 与 Header 不同 Payload 可以加密

Signature ​

• 对 Header 和 Payload 部分进行签名
• 保证 Token 在传输的过程中没有被篡改或者损坏

认证流程 ​

1. 客户端登录时传用户名、密码
2. 服务器拿到用户名和密码后根据算法，生成 token，返回给浏览器
3. 客户端拿到 token 后，存在本地存储中，再请求时带着 token 请求（一般放在 http header 中）
4. 服务器拿着传来的 token ，验证其身份，返回资源

PS：服务器可以在 paylload 设置过期时间，如果过期，可以让客户端重新发起验证

JWT 缺点 ​

• 更多的空间占用

参考资料 ​

• 还分不清 Cookie、Session、Token、JWT

• 辩证的眼光搞懂 JWT 这个知识点

• 理解 Cookie、Session、Token

• 使用 NodeJS 实现 JWT 原理