V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
asche910
V2EX  ›  问与答

现在都是如何记录用户状态的, session 、jwt?

  •  
  •   asche910 · 2019-12-03 11:14:15 +08:00 · 1282 次点击
    这是一个创建于 1817 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如题,如果网站做大点,往往是使用分布式 session,统一存储或者根据 hash 映射到对应的机器?

    还是使用类似 jwt 这样的机制,把存储交给客户端来完成?

    后者是直接把 jwt 值直接放在Authorization头部还是放在 Cookie 头部呢?另外会不会再对 jwt 做个简单的加密? 毕竟我看了好多网站并没有 Authorization 头部,而且 Cookie 里也没有类似 jwt 格式的值。

    4 条回复    2019-12-03 14:25:07 +08:00
    dcalsky
        1
    dcalsky  
       2019-12-03 11:40:42 +08:00
    JWT: Token 放 Header 的 Authorization 字段里,私密信息不要放 payload 里。对 token 不必要再加密了,因为生成 token 的时候,已经有一个加密过程(比如 HS256 )了。建议再看下简介: https://jwt.io/introduction/
    asche910
        2
    asche910  
    OP
       2019-12-03 12:52:18 +08:00
    @dcalsky 这些我知道,只是比较疑惑看了那么多的大网站,请求里都没有带上 Authorization 头部。那是不是说那些网站都是采用的 session 机制呢
    baiyi
        3
    baiyi  
       2019-12-03 13:30:45 +08:00   ❤️ 1
    想起了我一年多前发过的帖子,也是类似问题
    总结来说就是有些场景需要服务器端存储用户会话状态,所以还是用 session 更好,JWT 更适合的场景还是一次性授权令牌
    dcalsky
        4
    dcalsky  
       2019-12-03 14:25:07 +08:00 via Android
    @asche910 门户网站都是没有的,你可以看看那些 SAP 站点,国外网站也多看看。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   979 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 19:53 · PVG 03:53 · LAX 11:53 · JFK 14:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.