使用 JWT（JSON Web 令牌）实现登录身份验证和令牌续订

文档链接
文档链接, PDF中包含一部分宣传大字制作不易还望多多支持互相交流

使用 JWT（JSON Web 令牌）实现登录身份验证和令牌续订。它将 JWT 与基于会话的身份验证进行了比较，并强调了每种方法的差异、优点和缺点。本文档介绍了基于会话的方法和基于 JWT 的方法的身份验证过程。它还讨论了与 JWT 相关的安全性、性能和过期问题。该文档最后建议使用 JWT 进行身份验证，尤其是在分布式环境中。它提供了用于生成和解析 JWT 令牌的代码示例，以及使用 Redis 实现令牌存储。该文档还包括用于登录、注销和密码更新功能的代码片段。

大意：

• 基于会话的身份验证和基于 JWT 的身份验证之间的比较
• 基于会话和基于 JWT 的方法的身份验证过程
• 智威汤逊的优缺点
• JWT 的安全问题
• JWT 的性能注意事项
• JWT 的代币续订策略
• 使用 JWT 进行身份验证的建议
• 用于生成和解析 JWT 令牌的代码示例
• 使用 Redis 实现令牌存储
• 用于登录、注销和密码更新功能的代码片段

	Session	JWT
存储位置	服务器端	客户端
存储方式	内存/数据库	Local Storage/Cookie
有效期	服务器端控制	Token中包含过期时间
扩展性	需要额外实现多机数据共享	无需额外实现多机数据共享
安全性	需要保护Session ID	使用签名保护Token
性能	需要在服务器端存储和检索Session	无需在服务器端存储和检索Token
废弃	可以主动废弃Session	无法主动废弃Token，需要等待过期
续签	需要刷新Session的过期时间	需要签发新的Token
一次性	每次请求都要做Session的加密解密	每次请求都返回新的Token
分布式环境	需要额外实现多机数据共享	无需额外实现多机数据共享