相同:token和jwt都是用来访问资源的令牌凭证,需要验证来确定身份信息
token的验证机制流程:
1.用户输入账户和密码请求服务器
2.服务器验证用户信息,返回用户一个token值
.客户端存储token值,在每次请求都提交token值
4.服务器根据token验证用户信息,验证通过后返回请求结果
token必须要在每次请求时传递给服务端,都保存在header中
缺点:
1.内存级别重启全部失效
2.时效性,无法失效,被非法获取之后可以一直使用
3.集群部署,多台服务器无法共享,在负载会导致用户状态不同步
JWT(Json Web Token)
JWT是由三段信息构成的,将这三段信息文本用.
链接一起就构成了jwt字符串,第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature)。
header
jwt的头部承载两部分信息:
- 声明类型,这里是jwt
- 声明加密的算法 通常直接使用 HMAC SHA256
将头部进行base64加密(该加密是可以对称解密的),构成了第一部分。
playload
载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分
- 标准中注册的声明
- 公共的声明
- 私有的声明
signature
jwt的第三部分是一个签证信息,这个签证信息由三部分组成:
- header (base64后的)
- payload (base64后的)
- secret
这个部分需要base64加密后的header和base64加密后的payload使用,连接组成的字符串,然后通过header中声明的加密方式进行secret
组合加密,然后就构成了jwt的第三部分。
secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了
最后将这三部分连接成一个完整的字符串,构成了最终的jwt
JWT(Json Web Token)-Token
1.JWT生成的token是无状态的,服务端不存储,即一旦生成在有效期之前一直可用,无法销毁
2.如果需要刷新token有效期或者提前失效需要借助缓存、数据库或者redis来自己实现对应逻辑
3.JWT无状态=>不需要通过存储验证是否正确,本身可以验证
4.手动销毁:必须借助于第三方类似黑名单的方式=> 把检测到的非法token添加到黑名单中,每次验证token是否有效要先过黑名单,如果存在黑名单中直接拒绝
5.由于json的通用性,所以JWT是可以进行跨语言支持的