aboat365 最近的时间轴更新 aboat365 最近的时间轴更新 |
aboat365V2EX 第 354931 号会员,加入于 2018-10-10 09:30:57 +08:00今日活跃度排名 4799 |
https://aboat365.com/
| 为什么那么多 web 系统使用 jwt token 来做身份认证 信息安全 • aboat365 • 81 天前 • 最后回复来自 aboat365 | 95 |
| Java web 系统中,账户权限框架 security、shiro,大家哪个使用多? 问与答 • aboat365 • 2018-10-11 09:33:44 AM |
aboat365 最近回复了
17 天前 回复了 2onedesign 创建的主题 › 设计 › 初创设计工作室, 2021 年内提供免费 UI 设计 |
作为一个程序员,搞了一个开源的 java web 开发平台( https://gitee.com/syksy/qingzhou ),ui 方面全部使用原生的 ant design pro,甚至 logo 都还是 ant design 的。一直想设计一个好看的登录页,再找个契合的 logo,奈何个人能力有限,一直未能达成,看到本贴,甚为开心!
69 天前 回复了 pxiphx 创建的主题 › 音乐 › 公布昨天听无损音乐挑战的结果 |
@iBugOne 所以是看出来的,并不是听出来的?
81 天前 回复了 aboat365 创建的主题 › 信息安全 › 为什么那么多 web 系统使用 jwt token 来做身份认证 |
@Owenjia 阅读了一下 paseto 官方介绍
https://paragonie.com/blog/2017/03/jwt-json-web-tokens-is-bad-standard-that-everyone-should-avoid
其中罗列了 jwt 、jwe 、jws 的各种安全漏洞,paseto 的设计更为安全,有望替代 jwt 。最后在总结部分说明:
Don't use JWT for session management, as discussed in other articles.
请勿使用 JWT 进行会话管理,如其他文章所述。
For secure sessions: Just use cookies over HTTPS. Cookies should only store a random identifier which is paired with a server-side persistent storage mechanism.
对于安全会话:只需通过 HTTPS 使用 cookie 。Cookies 仅应存储与服务器端持久性存储机制配对的随机标识符。
https://paragonie.com/blog/2017/03/jwt-json-web-tokens-is-bad-standard-that-everyone-should-avoid
其中罗列了 jwt 、jwe 、jws 的各种安全漏洞,paseto 的设计更为安全,有望替代 jwt 。最后在总结部分说明:
Don't use JWT for session management, as discussed in other articles.
请勿使用 JWT 进行会话管理,如其他文章所述。
For secure sessions: Just use cookies over HTTPS. Cookies should only store a random identifier which is paired with a server-side persistent storage mechanism.
对于安全会话:只需通过 HTTPS 使用 cookie 。Cookies 仅应存储与服务器端持久性存储机制配对的随机标识符。
87 天前 回复了 aboat365 创建的主题 › 信息安全 › 为什么那么多 web 系统使用 jwt token 来做身份认证 |
87 天前 回复了 aboat365 创建的主题 › 信息安全 › 为什么那么多 web 系统使用 jwt token 来做身份认证 |
@also24 拜读了你的文章,写的真棒!特别是提出 Client Side Session 和 Sever Side Session,更加精准简洁的描述了本主题中讨论的问题。在文章中,我发现 Sever Side Session 似乎得到更为广泛的支持。但为什么在国内,Client Side Session 模式特别盛行呢(使用如主题附录中 jwt 的实现)?
87 天前 回复了 aboat365 创建的主题 › 信息安全 › 为什么那么多 web 系统使用 jwt token 来做身份认证 |
@zoharSoul #50 我未做过移动端开发,不知道移动端使用 session id 会比使用 token 复杂多少?但请你不要骗我。如果是真的,那这是一个考量点。
87 天前 回复了 aboat365 创建的主题 › 信息安全 › 为什么那么多 web 系统使用 jwt token 来做身份认证 |
@zzzmh 关于篡改,根据上下文理解你的意思应该是破解 jwt,那确实如你所言,难以破解。但本主题并未说 jwt 容易破解,主题中所说篡改指的是修改了 token ,那么服务器用公钥便能分辨出这是改过的 token,从而实现了防篡改。
87 天前 回复了 aboat365 创建的主题 › 信息安全 › 为什么那么多 web 系统使用 jwt token 来做身份认证 |
@LeeReamond @zzzmh #39 #46 超级高并发,高并发,或未来预期的高并发而选择使用无状态会话来减少服务器压力,这是一个值得进一步探讨的问题。如前回答 #37 所述,无状态性能更优(正比或指数或其它),但作为一个高并发架构,应该有具体的数据来支持。所以,能否分享一下达到何种量级后,无状态性能将显著超越有状态,或者说这将是一个制约系统响应时间的瓶颈。如果有这份数据,将很好的指导架构考量,来决定是否值得缺少有状态的优点,而拥抱无状态。
87 天前 回复了 aboat365 创建的主题 › 信息安全 › 为什么那么多 web 系统使用 jwt token 来做身份认证 |
@GooGee #44 这是一篇很棒的文章,较为全面的质疑了 jwt 作为会话系统的优点。但我仍然没有明白,为何大家都在使用 jwt 作会话?
88 天前 回复了 aboat365 创建的主题 › 信息安全 › 为什么那么多 web 系统使用 jwt token 来做身份认证 |
@Junzhou session 共享在各个 web 服务器中应该都有比较成熟的方案,而且基本不用写代码,所以,比起写代码实现无状态 jwt,这一点都不麻烦。
Select Language