相同:token和jwt都是用来访问资源的令牌凭证,需要验证来确定身份信息

token的验证机制流程:

1.用户输入账户和密码请求服务器

2.服务器验证用户信息,返回用户一个token值

.客户端存储token值,在每次请求都提交token值

4.服务器根据token验证用户信息,验证通过后返回请求结果

token必须要在每次请求时传递给服务端,都保存在header中

缺点:

1.内存级别重启全部失效

2.时效性,无法失效,被非法获取之后可以一直使用

3.集群部署,多台服务器无法共享,在负载会导致用户状态不同步

JWT(Json Web Token)

JWT是由三段信息构成的,将这三段信息文本用.链接一起就构成了jwt字符串,第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature)。

header

jwt的头部承载两部分信息:

  • 声明类型,这里是jwt
  • 声明加密的算法 通常直接使用 HMAC SHA256

将头部进行base64加密(该加密是可以对称解密的),构成了第一部分。

playload

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分

  • 标准中注册的声明
  • 公共的声明
  • 私有的声明

signature

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

  • header (base64后的)
  • payload (base64后的)
  • secret

这个部分需要base64加密后的header和base64加密后的payload使用,连接组成的字符串,然后通过header中声明的加密方式进行secret组合加密,然后就构成了jwt的第三部分。

secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了

最后将这三部分连接成一个完整的字符串,构成了最终的jwt

JWT(Json Web Token)-Token

1.JWT生成的token是无状态的,服务端不存储,即一旦生成在有效期之前一直可用,无法销毁

2.如果需要刷新token有效期或者提前失效需要借助缓存、数据库或者redis来自己实现对应逻辑

3.JWT无状态=>不需要通过存储验证是否正确,本身可以验证

4.手动销毁:必须借助于第三方类似黑名单的方式=> 把检测到的非法token添加到黑名单中,每次验证token是否有效要先过黑名单,如果存在黑名单中直接拒绝

5.由于json的通用性,所以JWT是可以进行跨语言支持的