session一般需要结合Cookie实现认证,所以需要浏览器支持cookie,因此移动端无法使用
session认证方案
安全 性
JWT的payload使用的是base64编码的,因此在JWT中 不能 存 储 敏 感数 据 。而session的信
息是存在服务端的,相对来说更安全
如果在JWT中存储了敏感信息,可以解码出来非常的不安全
性能
经过编码之后JWT将非常长,cookie的限制大小一般是4k,cookie很可能放不下,所以JWT
一般放在local storage里面。并且用户在系统中的每一次http请求都会把JWT携带在Header
里面,HTTP请求的Header可能比Body还要大。而sessionId只是很短的一个字符串,因此使
用JWT的HTTP请求比使用session的开销大得多
一次 性
无状态是JWT的特点,但也导致了这个问题,JWT是一次性的。想修改里面的内容,就必
须签发一个新的JWT
无法废弃 一旦签发一个JWT,在到期之前就会始终有效,无法中途废弃。若想废弃,一种
常用的处理手段是结合redis。另外,最新面试题整理好了,大家可以在 Java面试库小
程序在线刷题。
续签 如果使用JWT做会话管理,传统的cookie续签方案一般都是框架自带的,session有效
期30分钟,30分钟内如果有访问,有效期被刷新至30分钟。一样的道理,要改变JWT的有
效时间,就要签发新的JWT。最简单的一种方式是每次请求刷新JWT,即每个HTTP请求都
返回一个新的JWT。这个方法不仅暴力不优雅,而且每次请求都要做JWT的加密解密,会带
