1、セッションの認証メカニズム:
1 、ユーザのログイン、クライアントにユーザー名とパスワードを渡す 2 のチェックが成功した場合、サーバーは、ユーザー名とパスワードを検証し、セッションにユーザーを救う 3は、セッションIDがクッキーにより、カスタマーサービス側に戻す、顧客側は、セッションIDに保存されます 4、あなたはクッキーを運ぶでしょう、再びクライアントアクセスサーバーを呼び出す:セッションIDは、サーバがセッションに対応する情報を取得し、ユーザーの身元を確認することができます
既存のセッション認証の問題:
1、セッション情報があまりにも多くのユーザーならば、彼らはあまりにも多くのサーバー・ストレージ・スペースを取り、サーバ側に保存されています
クッキーが傍受された場合2、セッションクッキーに依存し、それはCSRF CSRF生成することができます
図3は、分散型Webアプリケーションでは、セッションはサーバーのメモリに格納されている場合、セッション共有の問題を使用します。
2、JWTの認証メカニズム
JWTトークンの構成は次のとおりです。
ストリング、ヘッダ(ヘッダ)、分離される3つの部分(ドット)からなる負荷(ペイロード)と署名(signatrue)
図1に示すように、頭部(ヘッダ):記憶装置は、暗号化および署名アルゴリズムのトークンタイプであります
ヘッドbase64で暗号化されたコンテンツを使用して{「トークンタイプ」、「署名暗号化アルゴリズムは、」}ヘッダを発生させます
図2に示すように、負荷(ペイロード):記憶有効データトークン及び有効時間
{ "USER_ID": "用户のID"、
「ユーザー名」:「ユーザー名」
"モバイル": "15211111111"
...
「経験」:「トークンの有効時間」}
コンテンツペイロード暗号化された概要base64では、ペイロードが生成されます
図3に示すように、シグネチャ(署名):役割:JWTトークンを防止するためには、偽造され
-
ペイロードの負荷があまりにも機密データを保持しています
-
サーバーは、署名、暗号化キーを維持する必要があります
-
あなたは安全なネットワーク・プロトコルを使用することができます。https
JWTは、の使用を展開します。
機能:JWTトークンの生成と検証がトークンJWT