【早阅】会话令牌和JWT结合的优势

作者：@Brian Morrison II
原文：https://dev.to/clerk/combining-the-benefits-of-session-tokens-and-jwts-d48

背景

在现代应用程序中，身份验证策略的选择对于系统的性能和安全性至关重要。传统的会话令牌（Session Tokens）和新兴的 JSON Web Tokens（JWTs）各有优缺点。会话令牌依赖于服务器端存储，易于管理但可能成为扩展瓶颈；JWTs 则通过客户端存储和验证，提高了请求处理的效率，但难以实现会话的即时失效。

要点

本文探讨了如何结合会话令牌和 JWTs 的优势，通过混合模型实现快速请求验证和会话失效的双重目标。

分析

1. 会话令牌认证 ：

• 工作原理 ：用户登录时，服务器创建一个包含用户 ID、创建时间、过期时间等信息的会话，并将会话标识符发送给客户端。客户端在后续请求中携带此标识符，服务器通过查询数据库验证会话的有效性。

• 优点 ：会话易于管理和失效，适合中小型应用。

• 缺点 ：随着应用扩展，每次请求都需要查询数据库，增加了延迟。

• 工作原理 ：用户登录后，服务器生成一个包含用户信息和签名的 JWT，并发送给客户端。客户端在请求中携带 JWT，服务器通过验证签名来确认请求的合法性。