首页 文章

JSON Web令牌(JWT)优于数据库会话令牌

提问于
浏览
42

使用数据库会话令牌系统,我可以使用用户名/密码进行用户登录,服务器可以生成令牌(例如uuid)并将其存储在数据库中并将该令牌返回给客户端 . 来自其上的每个请求都将包括令牌,并且服务器将查询令牌是否有效以及它属于哪个用户 .

使用JWT,由于保留在服务器上的密钥和客户端保留并随每个请求发送的签名令牌的组合,因此无需为会话/令牌保存任何数据库 .

这很好但除了保存数据库之外还检查每个请求(无论如何它都会很快,因为它不清楚使用JWT的优点是什么 . 你能熟悉这个解释吗? Let's ignore cookies, it's specifically a database custom token as described above and JWT that I am trying to compare and understand the benefits .

2 回答

  • 0

    主要区别在于服务器所需的会话存储大小和查找工作:

    • 在服务器端,JWT将 single key 存储在内存中(或配置文件中) - 称为密钥 . 该密钥有两个目的,它可以创建新的加密令牌,它的功能就像一个主密钥"opens all locks" - 或者在现实生活中验证所有令牌 . 因此,服务器对身份验证请求的响应速度要快得多,因为如果您有两百万或两百万用户登录并不重要 - 将使用相同数量的记录(一个,即服务器密钥)来验证所有客户端请求 .

    • 将用户会话存储在数据库中的传统身份验证,在db中为每个用户创建一条记录,从而产生 multiple keys . 因此,如果您有两百万用户登录,则服务器将创建两百万条记录,并且每个客户端请求服务器都需要在数据库中找到相关的会话记录* .

    JWT将其留给客户端来存储和处理整个会话/用户对象 . 它实际上更有意义,因为每个客户端只处理自己的数据,因此它也不会导致客户端的繁重工作 .

    至于你在上一段写的内容,不仅仅是我们在这里保存的db调用 . JWT实际上更多 scalable 因为它具有独立和轻量级的特性,它不会因为auth请求堆积而失败,它允许服务器处理auth accross设备和服务而无需管理服务器端的会话 .

    虽然安全性明显,但数据库会话可以占上风:由于这种延迟,它们可以更安全,并且在用户注销后也更不容易受到会话劫持的影响 .

    • db存储会话方法可以通过有效缓存和仅在快速键/值服务器(如Redis)中存储会话ID(而不是整个用户对象)进行优化 . 也就是说,在大多数情况下,我仍然会选择JWT方法而不是db .
  • 25

    基于Json的令牌(JWT)克服了以下问题:

    • 手机问题:原生移动应用似乎在使用Cookie时遇到问题,因此如果我们需要查询远程API,则会话身份验证可能不是最佳解决方案 .

    • CSRF问题:如果您遵循cookie方式,那么您需要拥有CSRF以避免跨站点请求 .

    但JWT不使用会话,移动没有问题,它不需要CSRF,它也适用于CORS . 如果您没有有效的令牌,则无法执行任何操作 .

    还有一个,因为此令牌存储在客户端本地存储/会话存储中,因此您也可以将这些令牌传递给其他客户端,但您必须共享用于生成此JWT的相同凭据 .

相关问题