JWT和Cookie/Session的区别及优缺点

## JWT和Cookie/Session的区别及优缺点

存储位置

古老都是应用在web中对http无状态协议的补充，达到状态保持的目的。

cookie:cookie中的信息是以键值对的形式存储在浏览器中，而且大浏览器中可以直接看到数据。

session:session是存储在服务器中，然后发送一个cookie存储在浏览器中，cookie中存储的是session_id，之后每次请求服务器通过 session_id可以获取对应的session信息

JWT:JWT存储在浏览器的storage 或者 cookie中。由服务器产生加密的json数据包括header,payload和signature 三部分组成。header

中通常来说由token的生成算法和类型组成，payload中则用来保相关的状态信息，signature部分由header，payload ,secret_key三部分加密生成。注意，不要在JWT的payload或header中放置敏感信息，除非它们是加密的。

优缺点：

cookie:

- 优点：

1. 结构简单。cookie是一种基于文本的轻量结构，包含简单的键值对。
2. 数据持久。虽然客户端计算机上cookie的持续时间取决于客户端上的cookie过期处理和用户干预，cookie通常是客户端上持续时间最长的数据保留形式。

- 缺点：

1. 大小受限。大多数浏览器对cookie的大小有5096的字节限制，尽管在当今新的浏览器和客户端设备版本中，支持8192字节的cookie大小已愈发常见。
2. 非常不安全。cookie将数据裸露在浏览器中，这样大大增大了数据被盗取的风险，所以我们不应该将重要的数据放在cookie中，或者将数据加密处理。
3. 容易被csrf攻击。可以设置csrf_token来避免攻击。

session:

- 优点：

1. session的信息存储在服务器，相比于cookie应在一定程度上加大了数据的完全性，相比于jwt方便进行管理，也就是说当用户登录和主动注销，只需要添加删除对应的session就可以，这样管理起来很方便

- 缺点：

1. session存储在服务端，这就增大了服务器的开销，当用户多的情况下，服务器性能应付大大降低。
2. 因为是基于cookie来进行用户识别的cookie如果被截获，用户就会很容易受到跨站请求伪造的攻击。
3. 用户认证之后，服务端做认证记录，如果认证的记录被保存的内存中的话， 这意味着用户下次请求还必须要请求在这台服务器上的，这样才能拿到授权的资源，这样在分布式的应用上，会限制负载均衡和集群水平拓展的能力。

JWT:

- 优点：

1. 因为json的通用性，jwt可支持跨语言请求，像Java、JavaScript、PHP等很多语言都可以使用。
2. 因为有了payload部分，所以JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息。
3. 便于传输，JWT的构成非常简单，字节占用很小，所以它是非常便于传输的。
4. 不需要在服务端保存会话信息，篮球服务器横向拓展。

- 缺点：

1. 登录状态续签问题。比如设置token的有效期为一个小时，那么一个小时后，如果用户仍然在这个web应用上，这个时候当然不能指望用户再登录一次。目前可用的解决办法是在每次用户发现请求都返回一个新的token，前端再用这个token来替代旧的，这样每一次请求都会刷新token的有效期。但是这样需要频繁的生成token。另外一种方案是判断还有多久这个token会过期，在token快要过期时，返回一个新的token.
2. 用户主动注销。JWT并不支持用户主动退出登录，客户端在别处使用token仍然可以正常访问。为了支持注销。有一个解决方案可用，就是在注销时将该token加入到服务器的redis黑名单中。

## 扩展

- JWT与OAuth的区别
OAuth2是一种授权框架，用在使用第三方账号登录的情况，比如使用weibo,qq,github登录某个app，JWT是一种认证协议，用在前后端分离，需要简单对后台API进行保护时使用。无论使用哪种方式一定要用HTTPS来保证数据的安全性。

[https://i.cnblogs.com/posts]:

1.

原文地址：https://www.cnblogs.com/xifeng3627935155/p/16315236.html