果您想进步了解您会在本文底部找到有用的资源。 基于会话的身份验证。 它是一种模式,而不是一种标准。所以实现可能会有所不同,但我将尝试概述其工作原理。 作为前端开发人员,您可能无法控制此设计决策,因此了解两者的工作原理很重要。 作为全栈或后端开发人员,您可以控制这个选择,因此了解自己在做什么更为重要。我的意思是,这是你的工作:) JWT 就像一张钞票 # 使用基于 令牌的身份验证,在登录步骤中,服务器将向客户端传递一个包含加密信息的令牌,即“声明”。当客户端发出请求时,他们会将此令牌与请求一起传递。 服务器验证此令牌确实是它自己先前生成的有效令牌。然后服务器读取令牌有效负载,根据用户 ID、用户名、电子邮件或任何有效负载来判断您是谁。
最后它可以授权或拒
绝访问资源 将代币想象成纸币。银行家可以打印新钞票,就像服务器可以创建代币一样。金钱可以让你买东西,或者如果我换句话说,它可以让你获得付费的商品和服务。JWT 允许您以相同 合作伙伴电子邮件列表 的方式访问安全服务。 来自的一张 JWT 钞票 来自 银行的 JWT 钞票。(大预览) 如果您想使用您的钱,无论是在银行存入您的账户还是在商店,人们都会仔细检查您的钞票是否真实。真正的钞票是由银行自己创造的。当钞票被确认是合法的时,他们可以读取上面的价值来判断你可以买多少东西。 JWT 的工作原理是一样的,服务器可以验证他们之前确实创建了这个令牌,所以它是真实的,然后他们可以读取它包含的有效负载来确认你是谁以及你的权限是什么。
撤销令牌可能很困难
服务器必须维护个不再有效的黑名单令牌列表,就像银行需要列出被盗钞票的唯一编号一样。 基于会话的身份验证就像一张信用卡 # 从前端开发人员的角度来看,JWT 和基于会话的身份验证之 北京列表 间的主要区别在于在成功登录时服务器将返回什么。 在基于会话的身份验证中,您只需获得一个“会话 ID”,而不是拥有充满用户信息的声明。 从后端开发人员的角度来看,基于会话的身份验证涉及一个额外的数据库集合或表来存储会话。会话只是一个与 JWT 非常相似的对象,它可以包含例如用户 ID 和到期日期。 这意味着服务器对身份验证保持大量控制。它可以通过从数据库中删除会话来注销用户,但它不能销毁 JWT,因为它不存储它们。 基于会话的身份验证类似于信用卡。你去银行开户。