ORn28資訊網(wǎng)——每日最新資訊28at.com

Session 和 JWT（JSON Web Token）都是用于在用戶和服務(wù)器之間建立認(rèn)證狀態(tài)的機(jī)制，但它們?cè)诠ぷ髟怼⒋鎯?chǔ)方式和安全性等方面存在著一些差異，下面我們一起來看。ORn28資訊網(wǎng)——每日最新資訊28at.com

1.什么是JWT？

Session 我們已經(jīng)很熟悉了，那什么是 JWT 呢？ORn28資訊網(wǎng)——每日最新資訊28at.com

JWT（JSON Web Token）是一種開放標(biāo)準(zhǔn)（RFC 7519），用于在網(wǎng)絡(luò)上安全傳輸信息的簡(jiǎn)潔、自包含的方式。它通常被用于身份驗(yàn)證和授權(quán)機(jī)制。ORn28資訊網(wǎng)——每日最新資訊28at.com

JWT 由三部分組成：頭部（Header）、載荷（Payload）和簽名（Signature）。ORn28資訊網(wǎng)——每日最新資訊28at.com

• 頭部（Header）：包含了關(guān)于生成該 JWT 的信息以及所使用的算法類型。
• 載荷（Payload）：包含了要傳遞的數(shù)據(jù)，例如身份信息和其他附屬數(shù)據(jù)。JWT 官方規(guī)定了 7 個(gè)字段，可供使用：

1. iss (Issuer)：簽發(fā)者。
2. sub (Subject)：主題。
3. aud (Audience)：接收者。
4. exp (Expiration time)：過期時(shí)間。
5. nbf (Not Before)：生效時(shí)間。
6. iat (Issued At)：簽發(fā)時(shí)間。
7. jti (JWT ID)：編號(hào)。

• 簽名（Signature）：使用密鑰對(duì)頭部和載荷進(jìn)行簽名，以驗(yàn)證其完整性。

JWT 官網(wǎng)：https://jwt.io/ORn28資訊網(wǎng)——每日最新資訊28at.com

2.JWT優(yōu)點(diǎn)分析

JWT 相較于傳統(tǒng)的基于會(huì)話（Session）的認(rèn)證機(jī)制，具有以下優(yōu)勢(shì)：ORn28資訊網(wǎng)——每日最新資訊28at.com

• 無需服務(wù)器存儲(chǔ)狀態(tài)：傳統(tǒng)的基于會(huì)話的認(rèn)證機(jī)制需要服務(wù)器在會(huì)話中存儲(chǔ)用戶的狀態(tài)信息，包括用戶的登錄狀態(tài)、權(quán)限等。而使用 JWT，服務(wù)器無需存儲(chǔ)任何會(huì)話狀態(tài)信息，所有的認(rèn)證和授權(quán)信息都包含在 JWT 中，使得系統(tǒng)可以更容易地進(jìn)行水平擴(kuò)展。
• 跨域支持：由于 JWT 包含了完整的認(rèn)證和授權(quán)信息，因此可以輕松地在多個(gè)域之間進(jìn)行傳遞和使用，實(shí)現(xiàn)跨域授權(quán)。
• 適應(yīng)微服務(wù)架構(gòu)：在微服務(wù)架構(gòu)中，很多服務(wù)是獨(dú)立部署并且可以橫向擴(kuò)展的，這就需要保證認(rèn)證和授權(quán)的無狀態(tài)性。使用 JWT 可以滿足這種需求，每次請(qǐng)求攜帶 JWT 即可實(shí)現(xiàn)認(rèn)證和授權(quán)。
• 自包含：JWT 包含了認(rèn)證和授權(quán)信息，以及其他自定義的聲明，這些信息都被編碼在 JWT 中，在服務(wù)端解碼后使用。JWT 的自包含性減少了對(duì)服務(wù)端資源的依賴，并提供了統(tǒng)一的安全機(jī)制。
• 擴(kuò)展性：JWT 可以被擴(kuò)展和定制，可以按照需求添加自定義的聲明和數(shù)據(jù)，靈活性更高。

總結(jié)來說，使用 JWT 相較于傳統(tǒng)的基于會(huì)話的認(rèn)證機(jī)制，可以減少服務(wù)器存儲(chǔ)開銷和管理復(fù)雜性，實(shí)現(xiàn)跨域支持和水平擴(kuò)展，并且更適應(yīng)無狀態(tài)和微服務(wù)架構(gòu)。ORn28資訊網(wǎng)——每日最新資訊28at.com

3.JWT基本使用

在 Java 開發(fā)中，可以借助 JWT 工具類來方便的操作 JWT，例如 HuTool 框架中的 JWTUtil。ORn28資訊網(wǎng)——每日最新資訊28at.com

HuTool 介紹：https://doc.hutool.cn/pages/JWTUtil/ORn28資訊網(wǎng)——每日最新資訊28at.com

使用 HuTool 操作 JWT 的步驟如下：ORn28資訊網(wǎng)——每日最新資訊28at.com

• 添加 HuTool 框架依賴
• 生成 Token
• 驗(yàn)證和解析 Token

（1）添加 HuTool 框架依賴

在 pom.xml 中添加以下信息：ORn28資訊網(wǎng)——每日最新資訊28at.com

<dependency>    <groupId>cn.hutool</groupId>    <artifactId>hutool-all</artifactId>    <version>5.8.16</version></dependency>

（2）生成 Token

Map<String, Object> map = new HashMap<String, Object>() {private static final long serialVersionUID = 1L;{    put("uid", Integer.parseInt("123")); // 用戶ID    put("expire_time", System.currentTimeMillis() + 1000 * 60 * 60 * 24 * 15); // 過期時(shí)間15天}};JWTUtil.createToken(map, "服務(wù)器端秘鑰".getBytes());

（3）驗(yàn)證和解析 Token

驗(yàn)證 Token 的示例代碼如下：ORn28資訊網(wǎng)——每日最新資訊28at.com

String token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbImFsbCJdLCJleHAiOjE2MjQwMDQ4MjIsInVzZXJJZCI6MSwiYXV0aG9yaXRpZXMiOlsiUk9MRV_op5LoibLkuozlj7ciLCJzeXNfbWVudV8xIiwiUk9MRV_op5LoibLkuIDlj7ciLCJzeXNfbWVudV8yIl0sImp0aSI6ImQ0YzVlYjgwLTA5ZTctNGU0ZC1hZTg3LTVkNGI5M2FhNmFiNiIsImNsaWVudF9pZCI6ImhhbmR5LXNob3AifQ.aixF1eKlAKS_k3ynFnStE7-IRGiD5YaqznvK2xEjBew";JWTUtil.verify(token, "123456".getBytes());

解析 Token 的示例代碼如下：ORn28資訊網(wǎng)——每日最新資訊28at.com

String rightToken = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwiYWRtaW4iOnRydWUsIm5hbWUiOiJsb29seSJ9.U2aQkC2THYV9L0fTN-yBBI7gmo5xhmvMhATtu8v0zEA";final JWT jwt = JWTUtil.parseToken(rightToken);jwt.getHeader(JWTHeader.TYPE);jwt.getPayload("sub");

（4）代碼實(shí)戰(zhàn)

在登錄成功之后，生成 Token 的示例代碼如下：ORn28資訊網(wǎng)——每日最新資訊28at.com

// 登錄成功，使用 JWT 生成 TokenMap<String, Object> payload = new HashMap<String, Object>() {    private static final long serialVersionUID = 1L;    {        put("uid", userinfo.getUid());        put("manager", userinfo.getManager());        // JWT 過期時(shí)間為 15 天        put("exp", System.currentTimeMillis() + 1000 * 60 * 60 * 24 * 15);    }};String token = JWTUtil.createToken(payload, AppVariable.JWT_KEY.getBytes());

例如在 Spring Cloud Gateway 網(wǎng)關(guān)中驗(yàn)證 Token 的實(shí)現(xiàn)代碼如下：ORn28資訊網(wǎng)——每日最新資訊28at.com

import cn.hutool.jwt.JWT;import cn.hutool.jwt.JWTUtil;import com.example.common.AppVariable;import org.springframework.cloud.gateway.filter.GatewayFilterChain;import org.springframework.cloud.gateway.filter.GlobalFilter;import org.springframework.core.Ordered;import org.springframework.http.HttpStatus;import org.springframework.http.server.reactive.ServerHttpResponse;import org.springframework.stereotype.Component;import org.springframework.web.server.ServerWebExchange;import reactor.core.publisher.Mono;import java.util.List;/** * 登錄過濾器（登錄判斷） */@Componentpublic class AuthFilter implements GlobalFilter, Ordered {    // 排除登錄驗(yàn)證的 URL 地址    private String[] skipAuthUrls = {"/user/add", "/user/login"};    @Override    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {        // 當(dāng)前請(qǐng)求的 URL        String url = exchange.getRequest().getURI().getPath();        for (String item : skipAuthUrls) {            if (item.equals(url)) {                // 繼續(xù)往下走                return chain.filter(exchange);            }        }        ServerHttpResponse response = exchange.getResponse();        // 登錄判斷        List<String> tokens =                exchange.getRequest().getHeaders().get(AppVariable.TOKEN_KEY);        if (tokens == null || tokens.size() == 0) {            // 當(dāng)前未登錄            response.setStatusCode(HttpStatus.UNAUTHORIZED);            return response.setComplete();        }        // token 有值        String token = tokens.get(0);        // JWT 效驗(yàn) token 是否有效        boolean result = false;        try {            result = JWTUtil.verify(token, AppVariable.JWT_KEY.getBytes());        } catch (Exception e) {            result = false;        }        if (!result) {            // 無效 token            response.setStatusCode(HttpStatus.UNAUTHORIZED);            return response.setComplete();        } else { // 判斷 token 是否過期            final JWT jwt = JWTUtil.parseToken(token);            // 得到過期時(shí)間            Object expObj = jwt.getPayload("exp");            if (expObj == null) {                response.setStatusCode(HttpStatus.UNAUTHORIZED);                return response.setComplete();            }            long exp = Long.parseLong(expObj.toString());            if (System.currentTimeMillis() > exp) {                // token 過期                response.setStatusCode(HttpStatus.UNAUTHORIZED);                return response.setComplete();            }        }        return chain.filter(exchange);    }    @Override    public int getOrder() {        // 值越小越早執(zhí)行        return 1;    }}

4.JWT實(shí)現(xiàn)原理

JWT 本質(zhì)是將秘鑰存放在服務(wù)器端，并通過某種加密手段進(jìn)行加密和驗(yàn)證的機(jī)制。加密簽名=某加密算法（header+payload+服務(wù)器端私鑰），因?yàn)榉?wù)端私鑰別人不能獲取，所以 JWT 能保證自身其安全性。ORn28資訊網(wǎng)——每日最新資訊28at.com

5.Session VS JWT

Session 和 JWT 的區(qū)別主要有以下幾點(diǎn)：ORn28資訊網(wǎng)——每日最新資訊28at.com

• 工作原理不同：Session 機(jī)制依賴于服務(wù)器端的存儲(chǔ)。當(dāng)用戶首次登錄時(shí)，服務(wù)器會(huì)創(chuàng)建一個(gè)會(huì)話，并生成一個(gè)唯一的會(huì)話 ID，然后將這個(gè) ID 返回給客戶端（通常是通過Cookie）。客戶端在后續(xù)的請(qǐng)求中會(huì)攜帶這個(gè)會(huì)話 ID，服務(wù)器根據(jù)會(huì)話ID來識(shí)別用戶并獲取其會(huì)話信息；而 JWT 是一種無狀態(tài)的認(rèn)證機(jī)制，它通過在客戶端存儲(chǔ)令牌（Token）來實(shí)現(xiàn)認(rèn)證。當(dāng)用戶登錄時(shí)，服務(wù)器會(huì)生成一個(gè)包含用戶信息和有效期的 JWT，并將其返回給客戶端。客戶端在后續(xù)的請(qǐng)求中會(huì)攜帶這個(gè) JWT，服務(wù)器通過驗(yàn)證 JWT 的有效性來識(shí)別用戶。
• 存儲(chǔ)方式不同：Session 信息存儲(chǔ)在服務(wù)器端，通常是保存在內(nèi)存或數(shù)據(jù)庫中。這種方式需要服務(wù)器維護(hù)會(huì)話狀態(tài)，因此在分布式系統(tǒng)或微服務(wù)架構(gòu)中，會(huì)話信息的共享和同步可能會(huì)成為問題；而 JWT信息存儲(chǔ)在客戶端，通常是保存在瀏覽器的本地存儲(chǔ)或 HTTP 請(qǐng)求的頭部中。這種方式無需服務(wù)器維護(hù)會(huì)話狀態(tài)，使得 JWT 在分布式系統(tǒng)或微服務(wù)架構(gòu)中更加靈活和易于擴(kuò)展。
• 有效期和靈活性不同：Session 的有效期通常由服務(wù)器控制，并且在會(huì)話期間用戶狀態(tài)可以在服務(wù)器端動(dòng)態(tài)改變。但這也意味著服務(wù)器需要管理會(huì)話的生命周期；而 JWT 的有效期可以在令牌生成時(shí)設(shè)置，并且可以在客戶端進(jìn)行緩存和重復(fù)使用。這使得 JWT 在需要頻繁訪問資源且不需要頻繁更改用戶狀態(tài)的場(chǎng)景中更加適用。此外，JWT 還支持在令牌中包含自定義的用戶信息，提供了更大的靈活性。

課后思考

既然 JWT 的有效期是在令牌生成時(shí)設(shè)置的，那如何實(shí)現(xiàn) JWT 的自動(dòng)續(xù)期呢？又如何將已經(jīng)泄漏的 JWT 令牌作廢呢？ORn28資訊網(wǎng)——每日最新資訊28at.com

本文鏈接：http://www.tebozhan.com/showinfo-26-81235-0.html面試官：Session和JWT有什么區(qū)別？

聲明：本網(wǎng)頁內(nèi)容旨在傳播知識(shí)，若有侵權(quán)等問題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系，我們將在第一時(shí)間刪除處理。郵件：2376512515@qq.com

上一篇： 詳解基于Spring Boot的WebSocket持久化方案

下一篇： 接口自動(dòng)化框架里常用的小工具