JWT 与“加密 cookie”的应用场景有什么区别?

143 天前
 yodhcn

这两种验证策略的应用场景有什么区别?

为什么在刷新有效期上,存储在 cookie 中的 session ,由后端通过中间件在每次请求时都刷新 session 的有效期;而 JWT 通常分为 access_tokenrefresh_token,并由前端通过携带 refresh_token 的请求获取新的 access_token

2641 次点击
所在节点    程序员
22 条回复
ychost
143 天前
其实本质没区别,无非是放 header 的 key 不一样,但是 cookie 有很多安全机制,浏览器可以保障 http_only 前端不能直接获取这个值而 jwt 这个保证不了
skuuhui
138 天前
其实没啥本质区别,就是一个加密值在通讯中传递。cookies 也是 http 头。只不过 cookies 有更多的限制情况,jwt 更自由,并且也带来更多不安全因素。如果你很多授权是跨域,跨平台,跨应用的,显然更自由的方式让你开发起来更容易,但不代表其他方式不行,你甚至自定义 token 字段。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1054786

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX