那些遇到过的问题

当我们有客户会话时,为什么我们需要JWT?

Sam*_*Sam 6 cookies session session-cookies jwt json-web-token

我知道JWT是无状态令牌,它存储有关客户端声明的签名信息,并通过Authorization HTTP头传递给服务器.

我的问题是,当我们已经有客户端会话时,为什么我们需要JWT(https://github.com/mozilla/node-client-sessions)?客户端会话在概念上是相同的.它们是包含签名信息的cookie,经过验证后意味着cookie没有被调整过.此外,客户端会话存储在cookie中并通过Cookie HTTP头传递.只使用不同的词语是一样的.我错了吗?

那么,为什么JWT甚至到了?我可以理解,也许重点是标准化身份验证令牌的工作方式,但我们相处得很好,没有基于会话ID的标准(每个实现都以自己的方式做事).此外,为什么JWT不会使用cookie作为转移手段.使用cookie,您不需要为每个请求显式发送正确的头(简化Ajax请求).

我错过了什么吗?

Mvd*_*vdD 6

JWT令牌是签名的JSON格式文档,用于声明有关用户(或任何主体)的声明.如果您信任令牌的颁发者,则您信任令牌中的声明并可以根据此做出授权决策.

JWT令牌通常用于调用外部Web API.这些API不一定与您的网站位于同一个域中,因此不能使用与您的网站相同的Cookie.JWT令牌用于REST服务,因为它们不需要存储在服务器上的任何会话信息.使用JWT令牌对CSRF攻击也不容易理解.

归档时间:

查看次数:

764 次

最近记录:

10 年,8 月 前
相关归档
如何从PHP会话数组中删除变量 50
使用python登录网站 17
SQLAlchemy对象已附加到会话 14
"HttpContext.Current.Session"vs Global.asax"this.Session" 13
调用RedirectToAction时,Response.Cookies会重置 8
使用HttpWebRequest时保持会话 8
如何在AngularJS应用程序中保存会话数据? 7
MVP - 演示者应该使用Session吗? 5
在Gorilla会话中使用自定义类型 4
我可以在Electron应用程序中阅读webview的cookie吗? 3
难疑归档
如何从JavaScript对象中删除属性? 5813
如何在单个表达式中合并两个词典? 4349
撤消尚未推送的Git合并 3695
如何循环或枚举JavaScript对象? 2704
如何在Ruby中编写switch语句 2026
Java中的"实现Runnable"与"扩展线程" 2023
什么是非捕获组?(?:)做什么? 1653
如何通过curl调用使用HTTP请求发送标头? 1328
如何克隆仅Git存储库的子目录? 1298
获取插入行的标识的最佳方法是什么? 1056