彻底理解JWT认证( 二 )


四、JWT 的使用方式客户端收到服务器返回的 JWT,可以储存在 Cookie 里面,也可以储存在 localStorage 。
此后,客户端每次与服务器通信,都要带上这个 JWT 。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP 请求的头信息Authorization字段里面 。

Authorization: Bearer <token>
另一种做法是,跨域的时候,JWT 就放在 POST 请求的数据体里面 。
五、JWT 的几个特点(1)JWT 默认是不加密,但也是可以加密的 。生成原始 Token 以后,可以用密钥再加密一次 。
(2)JWT 不加密的情况下,不能将秘密数据写入 JWT 。(切记不能写入敏感信息)
(3)JWT 不仅可以用于认证,也可以用于交换信息 。有效使用 JWT,可以降低服务器查询数据库的次数 。
(4)JWT 的最大缺点是无法作废已颁布的令牌,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限 。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑 。
(5)JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限 。为了减少盗用,JWT 的有效期应该设置得比较短 。对于一些比较重要的权限,使用时应该再次对用户进行认证 。
(6)为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输 。
(7) 更多的空间占用 。如果将原存在服务端session中的各类信息都放在JWT中保存在客户端,可能造成JWT占用的空间变大,需要考虑cookie的空间限制等因素,如果放在Local Storage,则可能受到XSS攻击 。
彻底理解JWT认证

文章插图
 
总结
  • 在使用jwt的时候一定要注意别携带敏感信息,令牌别被暴露,
  • 在Web应用中,别把JWT当做session使用,绝大多数情况下,传统的cookie-session机制工作得更好
  • JWT适合一次性的命令认证,颁发一个有效期极短的JWT,即使暴露了危险也很小,由于每次操作都会生成新的JWT,因此也没必要保存JWT,真正实现无状态 。

【彻底理解JWT认证】


推荐阅读