不要把 JWT 用作 session

最新推荐文章于 2025-05-21 23:25:14 发布
最新推荐文章于 2025-05-21 23:25:14 发布
阅读量777 收藏 3
点赞数 1
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/duysh/article/details/103798624
文章探讨了将 JWT 用于 session 管理的弊端,指出 JWT 的优点如易于扩展、简单易用、安全等实际上并不成立,并详细分析了 JWT 在安全性、过期控制、CSRF 攻击防护等方面的问题。作者建议 JWT 应用于一次性认证,而不是长期的身份验证机制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

现在很多人使用 JWT 用作 session 管理,这是个糟糕的做法,下面阐述原因,有不同意见的同学欢迎讨论。

首先说明一下,JWT 有两种:

  • 无状态的 JWT,token 中包含 session 数据。

  • 有状态的 JWT,token 中仅有 session ID,session 数据还是存储在服务端。

本文讨论的是 “无状态的 JWT”,就是把用户的 session 数据放到 token 中。

JWT 不适合做为 session 机制,这么做是有危险的。

很多人喜欢比较 “cookies vs. JWT”,这种比较是无意义的,就像比较苹果和桔子,cookies 是一个存储机制,而 JWT 是加密签名的 token,他们不是对立的,可以一起使用,或者独立使用。

正确的比较是“sessions vs. JWT” 和 “cookies vs. Local Storage”。

JWT 宣称的优点

人们通常会说 JWT 有如下的好处:

  • 易于水平扩展
  • 简单易用
  • 加密,更安全
  • 内置过期功能
  • 可以防护 CSRF 攻击
  • 在用户阻止了cookies后还可以工作

对于这些所谓的好处我们会一一剖析。

(1)易于水平扩展

把 session 数据放入 JWT,服务端不需要保存 session 信息,那么服务端自然是无状态的,可以随意扩展。

看上去的确带来了扩展上的便利,但实际上没啥优势,服务器端保存 session 没有任何难度:

  • 多服务器场景:
最低0.47元/天 解锁文章

200万优质内容无限畅学
AI科技界面
关注
sessionjwt区别 @by_TWJ
u010101252的博客
03-28 1723
基于session,用户信息存放在session里,在分布式下,是需要使用一个数据库(redis)存放共用的session信息的。,我觉得session会更优,因为我可以管理用户登录状态,我让他下线就下线。,我觉得jwt更优,这样jwt可以用扩展搞redis,而且用在服务端存放用户登录信息,减少了服务器使用内存,减少成本。jwt 存放在客户端本地,基于本地,但也可以存放在cookie等,可以自定义。基于jwt,因为用户信息都在jwtToken里,所以直接解析就能获取用户信息。jwt 有两个很关键的点,
你在用 JWT 代替 Session?
weixin_33851429的博客
09-01 4546
现在,JSON Web Tokens (JWT) 是非常流行的。尤其是 Web 开发领域。 流行 安全 稳定 易用 支持 JSON 所有这些因素,令 JWT 名声大振。 但是,今天我要来说说使用 JWT 的缺点。也就是为什么说将 JWT 用于会话控制是多么的糟糕。 为什么使用 JWT? 如果你了解 JWT不要紧张,它并可怕。 J...
不要JWT替代session管理(上):全面了解Token,JWT,OAuth,SAML,SSO
weixin_34130269的博客
07-03 1594
通常为了弄清楚一个概念,我们需要掌握十个概念。在判断 JWT (Json Web Token) 是否能代替 session 管理之前,我们要了解什么是 token,以及 access token 和 refresh token 的区别;了解什么是 OAuth,什么是 SSO,SSO 下同策略 OAuth 和 SAML 的同,以及 OAuth 与 OpenID 的同,更重要的是区分 autho...
Spring Boot 登录实现:JWTSession 全面对比与实战讲解
最新发布
2301_79291071的博客
05-21 1731
对比了Spring Boot中两种常见的登录认证方式:SessionJWTSession通过在服务器端存储用户信息,依赖Cookie进行身份验证,适合传统Web应用,安全性高但跨域支持较差。JWT则通过客户端存储加密的Token,无状态且跨域友好,适合前后端分离和微服务架构。详细介绍了两种方式的原理、代码实现及优缺点。
在分布式项目中,面对用户登录认证,使用JWT代替Session的原因
HellHellNo的博客
08-04 1149
1、服务器压力变大 使用Session进行用户认证,每增加1个用户进行登录认证,服务器就需分配内存存放Session,随着认证用户的增多,服务端的开销会明显增大 2、扩展性变差 用户登录认证记录保存在服务器内存中,则该用户下次发送登录请求时,必须在该台服务器上才可获得授权资源;假设在分布式系统中,多数初始用户认证请求被分配到服务器A、一部分到B、少部分到C,明显各服务器的请求数量均等,限制了负载均衡器的能力,也就意味着限制扩展的能力 3、安全性变低 由于用户识别是基于Cookie进行的,若Cookie被截
为什么选择使用JWTSession和cookie
qq_75269496的博客
07-22 776
详细解释了为什么选择使用JWT类型token而是使用 session与cookie
登录认证: 为什么要使用JWT去替代cookie和session技术
pingzhuyan的博客
06-29 2629
另外,Cookie的过期时间通常是长期的,这意味着用户的信息可能会一直被存储在本地,从而被滥用。扩展性问题:Cookie和Session是基于HTTP协议的,而随着Web技术的发展,HTTP协议已经无法满足一些需要实现的业务需求,如WebSockets等。跨域问题:如果用户在多个域名下使用同一个网站,Cookie在同域名之间传递会遇到阻碍,导致用户在使用该网站时出现问题。三部分 JWT通常由三部分构成,分别为Header(头部),Payload(负载),Signature(签名)
Nodejs中的JWTSession的使用
10-18
JWT 可以用作在 Web 应用之间传递声明的一种紧凑且自包含的方式。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。 Session 是另一种认证方式,在这种模式...
JWT如何设置成session
06-07
但是,可以将 JWT 用作 session 的一种替代方案,以实现无状态的 session 管理。下面是将 JWT 用作 session 的步骤: 1. 在 JWT 中保存 session 数据。在用户登录成功后,生成 JWT,将 session 数据存储JWT 中,...
别再使用 JWT 作为 Session 系统!问题重重且很危险。
方志朋的博客
11-24 341
点击关注公众号,Java干货及时送达????来源:learnku.com/articles/22616首先需要说明JWT 坊间流传的优势易于水平扩展?易于使用?更加灵活?更加安全?内置过期时间功能?无需询问用户「本网站使用 Cookies」?防止 CSRF 攻击?更适用于移动端?适用于阻止 Cookies 的用户?JWT 的劣势更费空间更安全无法单独销毁数据延迟实现库缺乏生产环境验证或压根存在结论所...
前端认证登录鉴权--SessionJWT简介
桃子阿桃
10-17 3403
Session 工作原理
一文搞懂SessionJWT登录认证
crg18438610577的博客
04-15 1707
一文搞懂SessionJWT登录认证~~
jwtsession的区别
weixin_58775072的博客
11-03 4967
jwtsession的区别总结
别再使用 JWT 作为 Session 系统!问题重重且很危险
weixin_44834205的博客
11-27 654
别再使用 JWT 作为 Session 系统!问题重重且很危险
记-JWT 认证接口性能调优
搬山境KL攻城狮的修炼手册
10-25 1270
记-JWT 认证接口性能调优 文章目录记-JWT 认证接口性能调优一、前言1.服务器2.工具2.描述二、问题排查1.加密2.匹配3.示例程序4.总结三、解决办法 一、前言 1.服务器 4核16G 2.工具 工具 用途 jmeter 压力测试工具 arthas 阿里开源的Java诊断工具 2.描述 使用jmeter压测jwt认证接口时发现,服务器CPU占用特别高,TPS总是上去仅有50 tps 二、问题排查 使用arthas 诊断工具连续打印CPU使用率高的线程堆栈,发现该
别再用 JWT 作为 Session 系统了,问题重重,后果很危险!
Java_LingFeng的博客
12-20 955
SON Web Tokens,又称JWT。本文将详解:为何 JWT 适合存储 Session,以及 JWT 引发的安全隐患。望各位对JWT有更深的理解!十分幸,我发现越来越多的人开始推荐使用 JWT 管理网站的用户会话(Session)。在本文中,我将说明为何这是个非常非常成熟的想法。需要澄清的是:本文并非挑起「永远不要使用 JWT」的争论 —— 只是想说明 JWT适合作为 Session 机制,且十分危险。JWT 在其它方面的确有其用武之地。本文结尾,我将简短地介绍一些合理用途。
JWTSession的区别
热门推荐
时光偏执的博客
12-23 1万+
JWT 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们再使用Session认证机制,而使用Json Web Token认证机制。 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的...
JWTsession的区别
go_forever_happy的博客
10-15 3051
区别 JWTsession最重要的区别是: JWT需要存储,而是在服务端根据前端传回的token进行解密比对处理 session是在用户登录之后,给浏览器返回一个sessionid,另外在服务器端同时存储sessionid及必要的用户信息,在用户使用cookie把sessionid传回服务端,服务端基于sessionid去数据库查询,若查到则表示用户还在活跃期,同时也可以获取到存储的必要用户信息。 相同点 都需要使用cookie。 ...
JWT认证授权深度解析与优化
最爱下雨天
11-01 1015
jwt是保存在客户端的字符串,里面携带了用户的一些基本信息,每次请求时候由客户端携带jwt token去后端请求接口。 区别于cookie-session的鉴权方式,在jwt鉴权中,仍然存在一定的身份认证漏洞; 一般jwt鉴权认证过程可以描述如下: 1 用户登录通过系统的认证后,系统颁发jwt令牌给该用户,用户将该jwt存储起来,可存放在cookie,header,或者localstorage等; 2用户发送请求,请求携带上系统颁发的jwt去请求服务; 3服务端解析该jwt令牌,若是解析且验证通过,将解析后
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值