偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

<p id="iz7rk"></p><big id="iz7rk"></big>

<sup id="iz7rk"></sup>

AI.x社區(qū)

軟考社區(qū)

企業(yè)培訓

鴻蒙開發(fā)者社區(qū)

信創(chuàng)認證

公眾號矩陣

移動端

視頻課免費課排行榜短視頻直播課軟考學堂

全部課程軟考信創(chuàng)認證華為認證廠商認證 IT技術 PMP項目管理免費題庫

文章資源問答課堂專欄直播

51CTO

鴻蒙開發(fā)者社區(qū)

51CTO技術棧

51CTO官微

51CTO學堂

51CTO博客

CTO訓練營

鴻蒙開發(fā)者社區(qū)訂閱號

51CTO軟考

51CTO學堂APP

51CTO學堂企業(yè)版APP

鴻蒙開發(fā)者社區(qū)視頻號

51CTO軟考題庫

賬號設置退出

理解 Token 與 Session：鑒權與會話管理的區(qū)別

作者：一安 2024-10-10 12:21:56

開發(fā) 前端

JWT用于無狀態(tài)的用戶認證，提供便捷和擴展性；Session作為輔助，提供額外的安全性和狀態(tài)管理。通過這種結合，可以充分利用兩者的優(yōu)點，確保系統(tǒng)既具備高擴展性，又能提供細致的安全控制。

使用JWT進行用戶認證和授權，而Session在一定程度上起到了輔助作用。讓我們詳細討論JWT和Session在這種結合模式中的各自作用以及為什么需要Session。

JWT的作用

用戶認證： JWT包含了用戶的身份信息和權限信息，客戶端每次請求時將JWT發(fā)送給服務器，服務器通過驗證JWT來確認用戶身份。
無狀態(tài)性： JWT不需要在服務器端存儲用戶會話信息，因此服務器可以是無狀態(tài)的，便于擴展和負載均衡。

Session的作用

附加的安全層：即使JWT是無狀態(tài)的，但在某些應用場景中，僅依賴JWT可能存在一些安全問題，例如Token的泄露或濫用。Session可以作為一個額外的安全層，確保Token即使有效，也必須在服務器的Session管理器中存在對應的會話。
管理Token的生命周期：通過Session，可以更方便地管理Token的生命周期，例如強制用戶重新登錄、手動注銷Token等操作。
控制“記住我”功能：如果用戶選擇了“記住我”選項，Session可以記錄這個狀態(tài)，并在JWT過期后，通過Session來決定是否允許繼續(xù)使用舊的Token。

為什么需要創(chuàng)建Session

盡管JWT可以在無狀態(tài)環(huán)境中使用，但Session的引入帶來了以下好處：

防止Token濫用：通過在服務器端驗證Session，可以確保即使Token有效，也必須是經(jīng)過服務器端認證的，從而防止Token被惡意使用。
支持用戶主動注銷：當用戶選擇注銷時，可以直接刪除服務器端的Session記錄，確保Token即使沒有過期，也無法再被使用。
提供更精細的控制：通過Session，可以實現(xiàn)更精細的權限控制和用戶狀態(tài)管理，例如強制下線、會話過期時間控制等。
狀態(tài)追蹤：在某些場景下，追蹤用戶狀態(tài)是必要的，例如監(jiān)控用戶的活躍度、登錄歷史等，這些信息可以通過Session進行管理。

結合JWT和Session的優(yōu)勢

結合使用JWT和Session，可以同時利用兩者的優(yōu)點，實現(xiàn)安全性和擴展性的平衡：

無狀態(tài)認證： JWT可以實現(xiàn)無狀態(tài)認證，便于系統(tǒng)的水平擴展和負載均衡。
狀態(tài)管理和安全性： Session可以提供額外的狀態(tài)管理和安全性，確保Token的使用更加安全可靠。

代碼示例

以下是一個簡化的代碼示例，展示了如何在用戶登錄時創(chuàng)建JWT和Session：

public LoginResponse login(String username, String password) throws AuthException {
    // 驗證用戶名和密碼
    User user = userService.authenticate(username, password);
    if (user == null) {
        throw new AuthException("Invalid username or password");
    }
    
    // 生成JWT Token
    String token = createJwt(user.getId(), user.getRoles());
    
    // 創(chuàng)建會話
    sessionManagerApi.createSession(token, user);
    
    // 返回Token
    return new LoginResponse(token);
}

public void createSession(String token, User user) {
    LoginUser loginUser = new LoginUser();
    loginUser.setToken(token);
    loginUser.setUserId(user.getId());
    loginUser.setRoles(user.getRoles());
    
    sessionManagerApi.saveSession(token, loginUser);
}

在請求驗證時，首先驗證JWT的有效性，然后檢查Session中是否存在對應的會話：

@Override
public DefaultJwtPayload validateToken(String token) throws AuthException {
    try {
        // 1. 先校驗jwt token本身是否有問題
        JwtContext.me().validateTokenWithException(token);

        // 2. 獲取jwt的payload
        DefaultJwtPayload defaultPayload = JwtContext.me().getDefaultPayload(token);

        // 3. 如果是7天免登陸，則不校驗session過期
        if (defaultPayload.getRememberMe()) {
            return defaultPayload;
        }

        // 4. 判斷session里是否有這個token
        LoginUser session = sessionManagerApi.getSession(token);
        if (session == null) {
            throw new AuthException(AUTH_EXPIRED_ERROR);
        }

        return defaultPayload;
    } catch (JwtException jwtException) {
        if (JwtExceptionEnum.JWT_EXPIRED_ERROR.getErrorCode().equals(jwtException.getErrorCode())) {
            throw new AuthException(AUTH_EXPIRED_ERROR);
        } else {
            throw new AuthException(TOKEN_PARSE_ERROR);
        }
    } catch (io.jsonwebtoken.JwtException jwtSelfException) {
        throw new AuthException(TOKEN_PARSE_ERROR);
    }
}

總結

在這個場景中，JWT用于無狀態(tài)的用戶認證，提供便捷和擴展性；Session作為輔助，提供額外的安全性和狀態(tài)管理。通過這種結合，可以充分利用兩者的優(yōu)點，確保系統(tǒng)既具備高擴展性，又能提供細致的安全控制。

責任編輯：武曉燕來源：一安未來

JWT Session 擴展性

51CTO技術棧公眾號

業(yè)務
速覽

媒體

51CTO CIOAge HC3i

社區(qū)

51CTO博客鴻蒙開發(fā)者社區(qū) AI.x社區(qū)

教育

51CTO學堂精培企業(yè)培訓 CTO訓練營

<sup id="gscci"></sup>

<output id="gscci"></output>

<ruby id="gscci"><font id="gscci"></font></ruby>