必要的补充（二）——JWT

太过爱你忘了你带给我的痛 2022-03-20 16:58 125阅读 0赞

### 什么是JWT ###

根据维基百科的定义，**JSON WEB Token**（**JWT**，读作 \[/dʒɒt/\]），是一种基于JSON的、用于在网络上声明某种主张的令牌（token）。JWT通常由三部分组成: 头信息（header）, 消息体（payload）和签名（signature）。

JWT管理session还有如下缺点：

1.  **更多的空间占用。**如果将原存在服务端session中的各类信息都放在JWT中保存在客户端，可能造成JWT占用的空间变大，需要考虑cookie的空间限制等因素，如果放在Local Storage，则可能受到XSS攻击。
2.  **更不安全。**这里是特指将JWT保存在Local Storage中，然后使用Javascript取出后作为HTTP header发送给服务端的方案。在Local Storage中保存敏感信息并不安全，容易受到跨站脚本攻击，跨站脚本（Cross site script，简称xss）是一种“HTML注入”，由于攻击的脚本多数时候是跨域的，所以称之为“跨域脚本”，这些脚本代码可以盗取cookie或是Local Storage中的数据。可以从这篇文章查看[XSS攻击][XSS]的原理解释。
3.  **无法作废已颁布的令牌。**所有的认证信息都在JWT中，由于在服务端没有状态，即使你知道了某个JWT被盗取了，你也没有办法将其作废。在JWT过期之前（你绝对应该设置过期时间），你无能为力。
4.  **不易应对数据过期。**与上一条类似，JWT有点类似缓存，由于无法作废已颁布的令牌，在其过期前，你只能忍受“过期”的数据。

### 总结 ###

1.  在Web应用中，别再把JWT当做session使用，绝大多数情况下，传统的cookie-session机制工作得更好
2.  JWT适合一次性的命令认证，颁发一个有效期极短的JWT，即使暴露了危险也很小，由于每次操作都会生成新的JWT，因此也没必要保存JWT，真正实现无状态。

扩展参考：[讲真，别再使用JWT了！][JWT]

[JWT全面解读、使用步骤][JWT 1]

[一篇文章带你分清楚JWT,JWS与JWE][JWT_JWS_JWE]

[XSS]: https://link.jianshu.com?t=HTTP://www.cnblogs.com/luminji/archive/2012/05/22/2507185.html
[JWT]: https://www.jianshu.com/p/af8360b83a9f
[JWT 1]: https://blog.csdn.net/achenyuan/article/details/80829401
[JWT_JWS_JWE]: https://www.jianshu.com/p/50ade6f2e4fd