Преимущества веб-токена JSON (JWT) по сравнению с токеном сеанса базы данных

Основное отличие заключается в размере хранилища сеансов и необходимости поиска на сервере:

• На стороне сервера JWT хранит единственный ключ в памяти (или в файле конфигурации), который называется секретным ключом. Этот ключ имеет две цели: он позволяет создавать новые зашифрованные токены, а также работает как главный ключ, который «открывает все блокировки» - или в реальной жизни проверяет все токены. В результате сервер намного быстрее отвечает на запросы аутентификации, потому что не имеет значения, два или два миллиона пользователей вошли в систему - такое же количество записей (одна, этот ключ сервера) будет использоваться для аутентификации всех клиентских запросов.

• Традиционная аутентификация, при которой сеансы пользователей хранятся в базе данных, создает запись в базе данных для каждого отдельного пользователя, что приводит к нескольким ключам. Таким образом, если у вас есть два миллиона пользователей, вошедших в систему, сервер создаст два миллиона записей, и с каждым клиентским запросом серверу необходимо найти соответствующую запись сеанса в базе данных *.

JWT предоставляет клиентской стороне возможность хранить и обрабатывать весь объект сеанса / пользователя. На самом деле это имеет гораздо больше смысла, потому что каждый клиент обрабатывает только свои собственные данные, поэтому это также не вызывает тяжелой работы со стороны клиента.

Что касается того, что вы написали в последнем абзаце, здесь мы сохраняем не только вызовы db. JWT на самом деле гораздо более масштабируемый из-за его независимого и легкого характера, он не дает сбоев, поскольку запросы аутентификации накапливаются, и он позволяет серверу обрабатывать аутентификацию на разных устройствах и службах без управления сеансами на стороне сервера. .

Однако с точки зрения безопасности сеансы db, возможно, имеют преимущество: они могут быть более безопасными из-за этой задержки, а также менее уязвимы для перехвата сеанса после выхода пользователя из системы.

* Метод хранимых сеансов db можно оптимизировать с помощью эффективного кэширования и сохранения только идентификатора сеанса (в отличие от всего объекта пользователя) на быстром сервере ключ / значение, таком как Redis. Тем не менее, в большинстве случаев я бы все равно предпочел метод JWT db.

Токен на основе Json (JWT) решает следующие проблемы:

1. Проблемы с мобильными устройствами: похоже, что у собственных мобильных приложений есть проблемы с файлами cookie, поэтому, если нам нужно запросить удаленный API, возможно, аутентификация сеанса - не лучшее решение.
2. Проблемы с CSRF: если вы используете файлы cookie, вам необходимо иметь CSRF, чтобы избежать межсайтовых запросов.

Но JWT не использует сеансы, у него нет проблем с мобильными устройствами, ему не нужен CSRF, и он очень хорошо работает с CORS. Если у вас нет действующего токена, вы ничего не сможете сделать.

Еще один, поскольку этот токен хранится в клиентском локальном хранилище / хранилище сеанса, поэтому вы можете передавать эти токены и другим клиентам, но вы должны использовать те же учетные данные, которые вы использовали для создания этого JWT.