一、登录鉴权的方式有以下几中
cookie/session
cookie保存在客户端,session保存在服务端;
简单易用,安全性低;
多服务器同步session也困难,需要借助第三方存储,如:redis
跨平台困难;
JWT
优点:易扩展、支持移动设备、跨应用调用、安全、承载信息丰富(比如json格式的数据)
缺点:刷新和过期处理方式;Payload不易过大,太大造成性能损耗,传输时间久,占用网络资源;中间人攻击,token是无状态的,如果被截获,在失效前可以一直获取数据
Oauth
优点:开放(任何软件开发商等都可以使用,如微信、QQ登录等);安全(不涉及密钥等敏感信息,比如:扫码,跳转等方式);简单(集成方便,restfulApi,文档齐全);
缺点:需要增加授权服务器,增加网络请求(鉴权过程有回调的存在)
二、JWT
什么是JWT
JWT全称是JSON Web Token,一个JWT由三部分构成:Header,Payload,Signature
主要特点
防止CSRF(跨站请求伪造,带上cookie)
适合移动端的应用(App)
无状态,传输数据可以编码增加传输数据的安全性
工作原理
