理解 Token 與 Session:鑒權(quán)與會(huì)話管理的區(qū)別
作者:一安
JWT用于無(wú)狀態(tài)的用戶認(rèn)證,提供便捷和擴(kuò)展性;Session作為輔助,提供額外的安全性和狀態(tài)管理。通過(guò)這種結(jié)合,可以充分利用兩者的優(yōu)點(diǎn),確保系統(tǒng)既具備高擴(kuò)展性,又能提供細(xì)致的安全控制。
使用JWT進(jìn)行用戶認(rèn)證和授權(quán),而Session在一定程度上起到了輔助作用。讓我們?cè)敿?xì)討論JWT和Session在這種結(jié)合模式中的各自作用以及為什么需要Session。
JWT的作用
- 用戶認(rèn)證: JWT包含了用戶的身份信息和權(quán)限信息,客戶端每次請(qǐng)求時(shí)將JWT發(fā)送給服務(wù)器,服務(wù)器通過(guò)驗(yàn)證JWT來(lái)確認(rèn)用戶身份。
- 無(wú)狀態(tài)性: JWT不需要在服務(wù)器端存儲(chǔ)用戶會(huì)話信息,因此服務(wù)器可以是無(wú)狀態(tài)的,便于擴(kuò)展和負(fù)載均衡。
Session的作用
- 附加的安全層: 即使JWT是無(wú)狀態(tài)的,但在某些應(yīng)用場(chǎng)景中,僅依賴JWT可能存在一些安全問題,例如Token的泄露或?yàn)E用。Session可以作為一個(gè)額外的安全層,確保Token即使有效,也必須在服務(wù)器的Session管理器中存在對(duì)應(yīng)的會(huì)話。
- 管理Token的生命周期: 通過(guò)Session,可以更方便地管理Token的生命周期,例如強(qiáng)制用戶重新登錄、手動(dòng)注銷Token等操作。
- 控制“記住我”功能: 如果用戶選擇了“記住我”選項(xiàng),Session可以記錄這個(gè)狀態(tài),并在JWT過(guò)期后,通過(guò)Session來(lái)決定是否允許繼續(xù)使用舊的Token。
為什么需要?jiǎng)?chuàng)建Session
盡管JWT可以在無(wú)狀態(tài)環(huán)境中使用,但Session的引入帶來(lái)了以下好處:
- 防止Token濫用: 通過(guò)在服務(wù)器端驗(yàn)證Session,可以確保即使Token有效,也必須是經(jīng)過(guò)服務(wù)器端認(rèn)證的,從而防止Token被惡意使用。
- 支持用戶主動(dòng)注銷: 當(dāng)用戶選擇注銷時(shí),可以直接刪除服務(wù)器端的Session記錄,確保Token即使沒有過(guò)期,也無(wú)法再被使用。
- 提供更精細(xì)的控制: 通過(guò)Session,可以實(shí)現(xiàn)更精細(xì)的權(quán)限控制和用戶狀態(tài)管理,例如強(qiáng)制下線、會(huì)話過(guò)期時(shí)間控制等。
- 狀態(tài)追蹤: 在某些場(chǎng)景下,追蹤用戶狀態(tài)是必要的,例如監(jiān)控用戶的活躍度、登錄歷史等,這些信息可以通過(guò)Session進(jìn)行管理。
結(jié)合JWT和Session的優(yōu)勢(shì)
結(jié)合使用JWT和Session,可以同時(shí)利用兩者的優(yōu)點(diǎn),實(shí)現(xiàn)安全性和擴(kuò)展性的平衡:
- 無(wú)狀態(tài)認(rèn)證: JWT可以實(shí)現(xiàn)無(wú)狀態(tài)認(rèn)證,便于系統(tǒng)的水平擴(kuò)展和負(fù)載均衡。
- 狀態(tài)管理和安全性: Session可以提供額外的狀態(tài)管理和安全性,確保Token的使用更加安全可靠。
代碼示例
以下是一個(gè)簡(jiǎn)化的代碼示例,展示了如何在用戶登錄時(shí)創(chuàng)建JWT和Session:
public LoginResponse login(String username, String password) throws AuthException {
// 驗(yàn)證用戶名和密碼
User user = userService.authenticate(username, password);
if (user == null) {
throw new AuthException("Invalid username or password");
}
// 生成JWT Token
String token = createJwt(user.getId(), user.getRoles());
// 創(chuàng)建會(huì)話
sessionManagerApi.createSession(token, user);
// 返回Token
return new LoginResponse(token);
}
public void createSession(String token, User user) {
LoginUser loginUser = new LoginUser();
loginUser.setToken(token);
loginUser.setUserId(user.getId());
loginUser.setRoles(user.getRoles());
sessionManagerApi.saveSession(token, loginUser);
}在請(qǐng)求驗(yàn)證時(shí),首先驗(yàn)證JWT的有效性,然后檢查Session中是否存在對(duì)應(yīng)的會(huì)話:
@Override
public DefaultJwtPayload validateToken(String token) throws AuthException {
try {
// 1. 先校驗(yàn)jwt token本身是否有問題
JwtContext.me().validateTokenWithException(token);
// 2. 獲取jwt的payload
DefaultJwtPayload defaultPayload = JwtContext.me().getDefaultPayload(token);
// 3. 如果是7天免登陸,則不校驗(yàn)session過(guò)期
if (defaultPayload.getRememberMe()) {
return defaultPayload;
}
// 4. 判斷session里是否有這個(gè)token
LoginUser session = sessionManagerApi.getSession(token);
if (session == null) {
throw new AuthException(AUTH_EXPIRED_ERROR);
}
return defaultPayload;
} catch (JwtException jwtException) {
if (JwtExceptionEnum.JWT_EXPIRED_ERROR.getErrorCode().equals(jwtException.getErrorCode())) {
throw new AuthException(AUTH_EXPIRED_ERROR);
} else {
throw new AuthException(TOKEN_PARSE_ERROR);
}
} catch (io.jsonwebtoken.JwtException jwtSelfException) {
throw new AuthException(TOKEN_PARSE_ERROR);
}
}總結(jié)
在這個(gè)場(chǎng)景中,JWT用于無(wú)狀態(tài)的用戶認(rèn)證,提供便捷和擴(kuò)展性;Session作為輔助,提供額外的安全性和狀態(tài)管理。通過(guò)這種結(jié)合,可以充分利用兩者的優(yōu)點(diǎn),確保系統(tǒng)既具備高擴(kuò)展性,又能提供細(xì)致的安全控制。
責(zé)任編輯:武曉燕
來(lái)源:
一安未來(lái)
