📝个人主页:五敷有你
🔥系列专栏:SpringBoot
⛺️稳重求进,晒太阳
什么是JWT
JWT简称JSON Web Token,也就是通过JSON形式作为Web应用的令牌,用于各方面之间安全的将信息作为JSON对象传输,在数据传输过程中
JWT能做什么
1.授权
这是使用JWT的最常见的方案,一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该令牌允许的路由,服务和资源,单点登录是当今广泛使用JWT的一项功能,因为开销小,可以在不同域中广泛使用
2.信息交换
JSON Web Token 是在各方面之间安全传输信息的好方法,因为对JWT进行签名(例如:使用公钥/私钥对)所以你可以确保发件人是他们听说的人,由于签名是使用标头和有效负载计算的,因此还可以验证内容是否遭到篡改
为什么是JWT
基于传统的Session认证
1.认证方式:
http协议本身是一种无状态的协议,而这意味着用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为Http协议并不知道是哪个用户发出来的请求,所以为了识别,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们应用,这样我们的应用就能识别是来自哪个用户了,这就是传统的session认证。
2.认证流程
3.暴露问题
1.每个用户经过我们的应用认证,我们的应用都要在做一次记录,以便用户下一次请求的鉴别,通常而言session都是保存在内存中的,而随着认证的用户越来越多,服务器的开端就会增大
2.用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,意味着用户下次请求必须要请求这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡的能力。
3.因为是基于cookie来进行的用户的识别,cookie如果被截获,用户就会很容器受到跨站请求的伪造攻击
4.在前后台的分离系统中,更痛苦