Authentication JWT可以替代基于会话的web应用程序身份验证吗?
JWT能否取代几乎所有web框架中使用的传统基于会话的身份验证;或者JWT的设计是否考虑到了其他客户机(如移动优先)Authentication JWT可以替代基于会话的web应用程序身份验证吗?,authentication,web-applications,session-cookies,jwt,Authentication,Web Applications,Session Cookies,Jwt,JWT能否取代几乎所有web框架中使用的传统基于会话的身份验证;或者JWT的设计是否考虑到了其他客户机(如移动优先) 使用JWT替代基于cookie的会话身份验证有哪些缺点?JWT确实可以替代基于会话的身份验证,因为会话中通常保留的所有信息现在都可以包含在客户端存储的自包含安全JSON对象中。在客户端是浏览器的情况下,JWT甚至可以用作会话cookie,在这种情况下,JWT用例使用基于cookie的会话身份验证崩溃。JWTs相对于Cookie的一个典型优势是JWTs可以跨域使用。一个缺点是JWT
使用JWT替代基于cookie的会话身份验证有哪些缺点?JWT确实可以替代基于会话的身份验证,因为会话中通常保留的所有信息现在都可以包含在客户端存储的自包含安全JSON对象中。在客户端是浏览器的情况下,JWT甚至可以用作会话cookie,在这种情况下,JWT用例使用基于cookie的会话身份验证崩溃。JWTs相对于Cookie的一个典型优势是JWTs可以跨域使用。一个缺点是JWT的大小通常更大(因为它包含更多的信息,并且由于保护其内容所涉及的加密).您能否详细说明JWT可以跨域的原因?当JWT出现在标题或查询/发布参数中时,您可以对多个域中的受保护资源使用它,而cookie仅适用于单个域!嗯,我必须承认我读过这篇文章()。建议将令牌存储为cookie。这就是为什么我不能理解JWT是如何跨域的。你能解释一下这篇文章吗?似乎一项技术有太多的使用/误用。我是引用的Stormpath博客文章的作者。在Cookie中使用JWT可以跨域(或跨子域)使用。您问题的答案归结为如何使用COR跨域使用cookie。