Open
Description
已经有前辈翻译了,这里贴一下地址
原文:Stop using JWT for sessions
原文续:Stop using JWT for sessions, part 2: Why your solution doesn't work
译文:请停止使用 JWT 认证 --by lizheming
其他相关文章:
- cookies-vs-tokens-definitive-guide
- 详尽的jwt说明,包括常见的攻击手段防范,附带demo
- 官方文档
一些总结
简单的说一些个人观点
- JWT被劫持后可以原封不动的通过服务器验证,而session id经过一些处理后则不能原封不动的使用。
- JWT储存在客户端中,服务器只需验证JWT,有效减轻服务器压力。
- JWT是无状态、内容可扩展的
- JWT储存在localstorage里容易被XSS攻击,储存在cookie里则和传统session一样会受到CSRF攻击。XSS攻击比较好理解也容易防范,当前普及的框架也有对用户输入做相应处理
个人认为,传统cookie+session的安全性是成熟的、经过考验的,而JWT的安全性目前来看也较有保障,能够担起身份验证的重任,同时还有减轻服务器压力、可以跨域验证、储存内容可自定义的优点。
才疏学浅,若有偏颇,欢迎指正补充