面试官:Session和JWT有什么区别?

最新推荐文章于 2025-05-27 16:58:18 发布
最新推荐文章于 2025-05-27 16:58:18 发布
阅读量1.3k 收藏 31
点赞数 33
CC 4.0 BY-SA版权
分类专栏: Java面试精选 文章标签: php 运维 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_85373732/article/details/144740127

目录

  1. 引言
  2. 什么是JWT?
  3. JWT优点分析
  4. JWT基本使用
  5. JWT实现原理
  6. Session VS JWT
  7. 总结

引言

在用户和服务器之间建立认证状态是Web开发中常见的需求。SessionJWT(JSON Web Token)是两种常用的机制,但它们在工作原理、存储方式和安全性等方面存在差异。

什么是JWT?

JWT是一种开放标准(RFC 7519),用于在网络上安全传输信息的简洁、自包含的方式。它通常被用于身份验证和授权机制。JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。

  • 头部(Header):包含了关于生成该JWT的信息以及所使用的算法类型。
  • 载荷(Payload):包含了要传递的数据,例如身份信息和其他附属数据。JWT官方规定了7个字段,可供使用:
    • iss (Issuer):签发者。
    • sub (Subject):主题。
    • aud (Audience):接收者。
    • exp (Expiration time):过期时间。
    • nbf (Not Before):生效时间。
    • iat (Issued At):签发时间。
    • jti (JWT ID):编号。
  • 签名(Signature):使用密钥对头部和载荷进行签名,以验证其完整性。

JWT优点分析

相较于传统的基于会话(Session)的认证机制,JWT具有以下优势:

  • 无需服务器存储状态:服务器无需存储任何会话状态信息,所有的认证和授权信息都包含在JWT中。
  • 跨域支持JWT可以轻松地在多个域之间进行传递和使用,实现跨域授权。
  • 适应微服务架构:在微服务架构中,很多服务是独立部署并且可以横向扩展的,这就需要保证认证和授权的无状态性。
  • 自包含JWT包含了认证和授权信息,以及其他自定义的声明,这些信息都被编码在JWT中。
  • 扩展性JWT可以被扩展和定制,可以按照需求添加自定义的声明和数据。

JWT基本使用

在Java开发中,可以借助JWT工具类来方便的操作JWT,例如HuTool框架中的JWTUtil

3.1 添加HuTool框架依赖

pom.xml中添加以下依赖:

<dependency>
    <groupId>cn.hutool</groupId>
    <artifactId>hutool-all</artifactId>
    <version>5.8.16</version>
</dependency>

3.2 生成Token

Map<String, Object> map = new HashMap<String, Object>() {
   
   
    private static final long serialVersionUID = 1L;
    {
   
   
        put("uid", Integer.parseInt("123")); // 用户ID
        put("expire_time", System.currentTimeMillis() + 1000 * 60 * 60 * 24 * 15); // 过
最低0.47元/天 解锁文章

新学期VIP享超值加赠
cookie、sessionToken的区别JWT又是什么?单点登录又是什么?头大?快进来看看,一文帮你捋清楚~
LYJbao的博客
11-06 1004
JWT是JSON WEB TOKEN的缩写,它是基于RFC7519标准定义的一种可以安全传输读的JSON对象,由于使用了数字签名,所以是可信任安全全的。之所以使用JWT,是因为Token是属于无状态的,每个人定制的规则不同,生成的的结果就会不同。所以目前,多数都是采用JWT为统一令牌标准~业务线越来越多,就会有更多业务系统分散到不同域名下,就需要「一次登录,全线通用」的能力,叫做「单点登录」。
面试官:HTTP协议你知道多少?
05-28 1812
一、Http协议简介 HTTP协议,即超文本传输协议(Hypertext transfer protocol)。HTTP协议通常承载于TCP协议之上,属于TCP/IP模型中应用层的协议,有时也承载于TLS或SSL协议层之上,这个时候,就成了我们常说的HTTPS。 HTTP协议定义Web客户端如何从Web服务器请求Web页面,以及服务器如何把Web页面传送给客户端。HTTP协议采用了请求/响应模型。客户端向服务器发送一个请求报文,请求报文包含请求的方法、URL、协议版本、请求头部请求数据。服务器.
sessionjwt区别 @by_TWJ
u010101252的博客
03-28 1736
基于session,用户信息存放在session里,在分布式下,是需要使用一个数据库(redis)存放共用的session信息的。,我觉得session会更优,因为我可以管理用户登录状态,我让他下线就下线。,我觉得jwt更优,这样jwt可以不用扩展搞redis,而且不用在服务端存放用户登录信息,减少了服务器使用内存,减少成本。jwt 存放在客户端本地,基于本地,但也可以存放在cookie等,可以自定义。基于jwt,因为用户信息都在jwtToken里,所以直接解析就能获取用户信息。jwt 有两个很关键的点,
JWTSession的比较
death05的博客
04-27 913
如今,越来越多的项目开始采用JWT作为认证授权机制,那么它之前的Session究竟有什么区别呢?今天就让我们来了解一下。 JWT是什么 定义 JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑自包含的方式,用于在各方之间作为JSON对象安全地传输信息。作为标准,它没有提供技术实现,但是大部分的语言平台都有按照它规定的内容提供了自己的技术实现,所以实际...
session、cookie、jwt
最新发布
bojinyuan00的博客
05-27 1090
session、cookie、jwt区别
JWTsession区别
go_forever_happy的博客
10-15 3052
区别 JWTsession最重要的区别是: JWT不需要存储,而是在服务端根据前端传回的token进行解密比对处理 session是在用户登录之后,给浏览器返回一个sessionid,另外在服务器端同时存储sessionid及必要的用户信息,在用户使用cookie把sessionid传回服务端,服务端基于sessionid去数据库查询,若查到则表示用户还在活跃期,同时也可以获取到存储的必要用户信息。 相同点 都需要使用cookie。 ...
sessionjwt
Az201706的博客
09-16 399
sessionjwt
JWT(一):JWT与seesion对比
INNNNNK的博客
04-07 887
JWT原理及实现 一、JWT是什么 JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally
面试官:说说 Cookie、Session、Token、JWT
m0_71777195的博客
12-26 223
用户授予第三方应用访问该用户某些资源的权限你在安装手机应用的时候,APP 会询问是否允许授予权限(访问相册、地理位置等权限)你在访问微信小程序时,当登录时,小程序会询问是否允许授予权限(获取昵称、头像、地区、性别等个人信息)实现授权的方式有:cookie、session、token、OAuth什么是凭证(Credentials)实现认证授权的前提是需要一种媒介(证书) 来标记访问者的身份在战国时期,商鞅变法,发明了照身帖。照身帖由官府发放,是一块打磨光滑细密的竹板,上面刻有持有人的头像籍贯信息。
【面试集锦】如何设计SSO方案?OAuth有什么区别
roykingw的专栏
02-12 1047
如果面试问你,你会做一个权限系统吗?那你肯定会说做过。不就是各种登录、验证吗。我做的第一个CRUD应用就是注册、登录。简单!但是,如果问你在工作中真的做过权限系统吗?其实很多人都只能默默摇摇头。因为在很多真实项目中,权限系统可能不是最复杂的,但一定是牵连最广的。因此往往大型项目中真正去做权限系统的,都只是非常核心的一小部分人。而如果你的应用越来越复杂,作为安全门户的权限系统也会随着变得更加复杂。各种方案层出不穷。
JWT对比Session
weixin_45351103的博客
03-31 1515
JWT代替Session1 JWT2 回顾Session2.1 cookie-session会话机制(会话管理)3 Session会话管理存在的问题 1 JWT JWT(JSON Web Token): 是一个开发的标准,用于在各方之间以JSON对象安全地传输信息。这些信息通过数字签名进行验证授权。可以使用“RSA”的"公钥/私钥对"对JWT进行签名。 2 回顾Session 2.1 cookie-session会话机制(会话管理) HTTP特点:无记忆性,请求响应式。HTTP的无记忆性会产生问题
JWTSession区别
时光偏执的博客
12-23 1万+
JWT 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的...
jwtsession区别
weixin_58775072的博客
11-03 4993
jwtsession区别总结
服务器sessionjwt之争
热门推荐
三少GG
12-12 1万+
1. session sessioncookie的目的相同,都是为了克服http协议无状态的缺陷,但完成的方法不同。session通过cookie,在客户端保存session id,而将用户的其他会话消息保存在服务端的session对象中,与此相对的,cookie需要将所有信息都保存在客户端。因此cookie存在着一定的安全隐患,例如本地cookie中保存的用户名密码被破译,或co
JWTSession
weixin_36037473的博客
04-19 688
本文均从网上摘录 JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,...
一文带你了解Jwtsession区别
hola173841439的博客
07-26 1673
因为要重构公司的web端产品,前端一起对了下接口。在对接用户登录的时候,发现当用户关掉浏览器后再次打开浏览器竟然不能无密码登录。然后就前端商量了下,后端采用jwt技术将生成token给前端,前端将token存储到localstorage,以便后续请求以token方式进行无秘登录以及权限校验。但是今天在该代码的时候发现后端有用到session进行用户登录的一个校验,似乎我用的jwt实现的效果有异曲同工之妙,我就好奇了这个jwt到底有什么区别呢?然后就进行了一番研究…session服务器端。
Node后端认证机制实战:SessionJWT案例分析
资源摘要信息:"Node.js后端认证机制实践指南" ...通过本指南的学习,开发者将掌握在Node.js后端应用中实现session认证JWT认证的方法技巧,能够根据应用需求选择合适的认证机制,并正确地实现部署认证功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值