湘潭网站建设厦门网站制作一级造价工程师报名网站
张小明 2026/1/19 20:41:02
湘潭网站建设厦门网站制作,一级造价工程师报名网站,濮阳市平台公司,wordpress调用自定义类型文章在 Web 应用的交互过程中#xff0c;用户身份认证#xff08;Authentication#xff09; 是最基础、也是最核心的能力之一。所谓认证#xff0c;本质上就是回答一个问题#xff1a;“你是谁#xff1f;”。 然而#xff0c;HTTP 协议天生是无状态的——服务器不会主…在 Web 应用的交互过程中用户身份认证Authentication是最基础、也是最核心的能力之一。所谓认证本质上就是回答一个问题“你是谁”。然而HTTP 协议天生是无状态的——服务器不会主动记住客户端的身份信息。服务器在处理每一次请求时都无法确认请求是否来自同一个用户。这一特性决定了认证机制是 Web 应用中必须额外解决的技术问题。如果每次请求都要求用户重复输入用户名和密码不仅用户体验极差也存在严重的安全风险。正是在这样的背景下Session 认证、Token 认证以及如今主流的 JWT 认证方案逐步演进并在工程实践中不断融合优化。一、传统 Session 认证基于服务器状态的身份绑定1. Session 的核心思想Session 是 Web 早期最常用的认证机制其核心思想是|由服务器保存用户的会话状态并通过 SessionID 将客户端与服务器状态绑定起来。Session 本质上是基于 Cookie 实现的身份识别方案。2. Session 认证流程完整的 Session 认证流程通常如下1. 会话创建客户端首次提交用户名、密码等认证信息服务器验证通过后为该用户创建一个 Session用于存储身份信息、权限数据等。2. SessionID 下发服务器将 Session 保存在内存或数据库、缓存中同时生成唯一的 SessionID 返回给客户端。3. 客户端存储客户端收到 SessionID 后将其存入 Cookie并与服务器域名绑定。4. 后续请求认证客户端后续请求时会自动携带 Cookie。服务器提取其中的 SessionID并查找对应 Session若存在则认证成功否则失败。3. Session 认证的局限性随着系统规模扩大Session 机制的缺陷逐渐显现服务器开销大Session 多存储在服务器内存中用户规模增长会导致内存压力迅速增大。扩展性差在分布式架构中Session 默认绑定单台服务器请求被路由到其他节点时会认证失败需额外引入 Session 共享方案如 Redis增加系统复杂度。安全风险CSRFSession 依赖 Cookie 自动携带容易受到 CSRF跨站请求伪造攻击。二、传统 Token 认证无状态认证的初步探索1. Token 认证的设计目标为解决 Session 的扩展性和安全问题Token 认证应运而生其目标是|让服务器不再保存会话状态实现无状态认证。2. Token 认证流程客户端提交用户名和密码服务器验证成功后生成一个 Token 字符串服务器将 Token 存储在数据库或缓存中并返回给客户端客户端将 Token 保存到本地如 LocalStorage客户端每次请求时在 HTTP Header 中携带 Token服务器从 Header 中取出 Token通过查询数据库或缓存验证其有效性3. Token 认证的优缺点优点服务器不再保存会话状态天然支持分布式架构Token 通过 Header 传递避免了 Cookie 带来的 CSRF 风险缺点性能损耗每次认证都需要查询数据库或缓存退出复杂用户退出登录时必须通知服务器删除 Token否则 Token 在过期前始终有效传统 Token 虽然是无状态的但仍然依赖服务器存储 Token本质上并未彻底摆脱“服务器状态”。三、JWT 认证理论上的完全无状态方案JWTJSON Web Token是目前最主流的认证技术它在传统 Token 的基础上提出了一个关键改进|Token 本身携带身份信息服务器只负责校验不再存储 Token。1. JWT 认证流程客户端提交认证信息服务器验证通过后生成 JWT 并返回给客户端服务器不保存客户端将 JWT 保存在本地客户端每次请求时通过 Header 携带 JWT服务器使用密钥解析 JWT解析成功且未过期 → 认证成功解析失败或过期 → 认证失败2. JWT 的核心优势无需查库性能开销低完全无状态天然适配分布式与微服务架构任意服务器节点都可独立完成认证四、JWT 的结构组成JWT 由三部分组成使用 . 连接Header.Payload.SignatureHeader头部Payload负载Signature签名 1. Header头部Header 描述 Token 的元信息包括Token 类型JWT签名算法如 HS256、RS2562. Payload负载Payload 用于存储声明Claims包括注册声明如 exp、iat、iss公共声明如用户名、角色私有声明服务端与客户端约定的信息⚠️ Payload 只是 Base64 编码并非加密任何人都可以解码查看因此不应存放敏感信息。3. Signature签名Signature 用于保证 Token 不被篡改由服务器使用密钥对 Header 和 Payload 进行加密生成。服务器通过重新计算签名来验证 JWT 的合法性。4. JWT编码eyJhbGciOiJSUzI1NiIsImtpZCI6IkUyMjJBMTM5ODc2MjI3RUNEREI2NzBGQkY1NTc5QzM2IiwidHlwIjoiYXQrand0In0.eyJuYmYiOjE2Mjg4MDA2MjgsImV4cCI6MTYyODgwNDIyOCwiaXNzIjoiaHR0cDovL2xvY2FsaG9zdDoxMDAwMSIsImNsaWVudF9pZCI6IkFjY291bnRfcGFzc3dvcmRfY2xpZW50Iiwic3ViIjoic2EiLCJhdXRoX3RpbWUiOjE2Mjg4MDA2MjcsImlkcCI6ImxvY2FsIiwiVXNlcklkIjoiMSIsIm5hbWUiOiJ3amsiLCJnaXZlbl9uYW1lIjoiamF5Y2V3dSIsImZhbWlseV9uYW1lIjoieXl5IiwiZW1haWwiOiI5Nzc4NjU3NjlAcXEuY29tIiwicm9sZSI6ImFkbWluIiwianRpIjoiREUwNzQ4RDgwQ0NBQzZDNzc1OUM4RTA5QUE2MjNFQjMiLCJpYXQiOjE2Mjg4MDA2MjcsInNjb3BlIjpbIm9wZW5pZCJdLCJhbXIiOlsiY3VzdG9tIl19.zEuO8n_oQ_UuWonV3EQX86G0K-5wSZPPjluaJ0KtDEtXdqftzhTGSzNWgg1-4rCi-2tVFjXuwcoGsWJgtTbfRz4_cuNhorO27g5XNT0toAcbEV5Bhyex4G5nIK_DqDQUqWL-coigAh49m8mEq-lqBuulznITmHcLRqURxD_UjBTcSxItXgMu9_ikCD7IQKYFWu8IsQn4K8FBBbOYdkxAQwPmMb5yMtj_5BM6teFTeGlBOwpR7Ulu498XRSjLumUus4hCBDhdrxCTBI-YKRZEKUiIjtFZbH8xvqKqecmXIJEfldWa1VIAOjWuXPi77PRrNqRV3vgLhj6WBXPSXPjQdQ地址验证https://jwt.ms/eyJhbGciOiJSUzI1NiIsImtpZCI6IkUyMjJBMTM5ODc2MjI3RUNEREI2NzBGQkY1NTc5QzM2IiwidHlwIjoiYXQrand0In0.eyJuYmYiOjE2Mjg4MDA2MjgsImV4cCI6MTYyODgwNDIyOCwiaXNzIjoiaHR0cDovL2xvY2FsaG9zdDoxMDAwMSIsImNsaWVudF9pZCI6IkFjY291bnRfcGFzc3dvcmRfY2xpZW50Iiwic3ViIjoic2EiLCJhdXRoX3RpbWUiOjE2Mjg4MDA2MjcsImlkcCI6ImxvY2FsIiwiVXNlcklkIjoiMSIsIm5hbWUiOiJ3amsiLCJnaXZlbl9uYW1lIjoiamF5Y2V3dSIsImZhbWlseV9uYW1lIjoieXl5IiwiZW1haWwiOiI5Nzc4NjU3NjlAcXEuY29tIiwicm9sZSI6ImFkbWluIiwianRpIjoiREUwNzQ4RDgwQ0NBQzZDNzc1OUM4RTA5QUE2MjNFQjMiLCJpYXQiOjE2Mjg4MDA2MjcsInNjb3BlIjpbIm9wZW5pZCJdLCJhbXIiOlsiY3VzdG9tIl19.zEuO8n_oQ_UuWonV3EQX86G0K-5wSZPPjluaJ0KtDEtXdqftzhTGSzNWgg1-4rCi-2tVFjXuwcoGsWJgtTbfRz4_cuNhorO27g5XNT0toAcbEV5Bhyex4G5nIK_DqDQUqWL-coigAh49m8mEq-lqBuulznITmHcLRqURxD_UjBTcSxItXgMu9_ikCD7IQKYFWu8IsQn4K8FBBbOYdkxAQwPmMb5yMtj_5BM6teFTeGlBOwpR7Ulu498XRSjLumUus4hCBDhdrxCTBI-YKRZEKUiIjtFZbH8xvqKqecmXIJEfldWa1VIAOjWuXPi77PRrNqRV3vgLhj6WBXPSXPjQdQ5.JWT解码:{ alg: RS256, //算法签名 kid: E222A139876227ECDDB670FBF5579C36,//令牌id typ: atjwt//令牌类型 }.{ nbf: 1628800628, //生效时间 生效之前无法用 exp: 1628804228, //过期时间 过期时间后无法用。大于签发时间iat iss: http://localhost:10001,//签发服务地址 client_id: Account_password_client,//客户端id sub: sa, auth_time: 1628800627, idp: local, UserId: 1, name: wjk, given_name: jaycewu, family_name: yyy, email: 977865769qq.com, role: admin, jti: DE0748D80CCAC6C7759C8E09AA623EB3,//一次性操作 iat: 1628800627,//签发时间 scope: [ openid ], amr: [ custom ] }.[Signature]五、工程实践JWT 缓存的混合认证方案尽管 JWT 在理论上是“完全无状态”的但在真实工程中纯 JWT 模式存在明显不足无法主动失效 Token登出、封禁无效权限变更无法即时生效Token 泄露后不可控因此在实际系统中JWT 往往会与缓存如 Redis结合使用。当然这种也可以通过程序去实现即时通信1. JWT 缓存的核心思路|客户端只持有一个随机字符串Token ID真正的 JWT 或用户会话信息存储在服务器缓存中。2. 实际认证流程用户登录成功服务器生成一个随机 Token如 UUID一个 JWT 或用户会话对象将二者映射关系存入缓存token_uuid → jwt / userInfo客户端仅保存token_uuid每次请求时携带该随机 Token服务器通过随机 Token 从缓存中获取 JWT 或用户信息完成认证若缓存中不存在该 Token则认证失败3. 这种方案的优势支持主动注销删除缓存即可立即失效权限实时生效缓存内容可随时更新泄露风险可控泄露的只是随机值兼具 Session 的可控性与 Token 的灵活性六、几种认证方案的对比方案是否存服务器客户端持有是否可主动失效Session是SessionID✅纯 JWT否完整 JWT❌传统 Token是Token✅JWT 缓存是随机 Token✅可以理解为|JWT 缓存 JWT 的解析能力 Session 的可控性七、总结认证机制的真实演进方向从 Session 到 JWT认证机制的演进始终围绕三个核心目标展开降低服务器状态依赖提升系统扩展性增强安全与可控性JWT 在理论上提供了最优雅的无状态方案而在工程实践中JWT 缓存 则成为安全性、性能与可维护性之间的最佳平衡方案。这也是为什么在真实生产系统中“纯 JWT”并不常见而“JWT 登录”往往是一个混合实现。在使用 JWT 时应特别注意不在 Payload 中存储敏感信息严格保护服务器私钥合理设置 Token 过期时间结合刷新 Token 或缓存控制机制至此JWT 已不仅是一种规范更是一套成熟的工程实践体系。