身份验证究竟是什么，它与授权有何不同？身份验证是验证某人身份的过程，而授权是验证用户可以访问哪些特定应用程序、文件和数据的过程。如何确保请求访问资源的人员就是他们声称的人员？并且一旦确认了他们的身份，如何控制他们可以做什么或看到什么？

JWT（JSON Web 令牌）与基于session的身份验证之间的争论是现代 Web 开发中的一个重要观点。

• JWT 认证：在此，服务器生成一个令牌，客户端存储该令牌并在每次请求时出示。这是一种无状态方法，意味着服务器不需要保留令牌的记录。

• 基于session的认证：相反，它是状态的。服务器为用户创建一个会话，并将会话数据存储在服务器端。客户端仅持有会话标识符，通常在 cookie 中。

JSON Web 令牌 (JWT) 作为一种紧凑且独立的机制，用于以 JSON 对象的形式在各方之间安全地传输信息。

• 标头：指定令牌类型 (JWT) 和签名算法（例如，HMAC SHA256）。
• 有效负载：包含声明，即关于实体（用户）的陈述和附加元数据。
• 签名：通过使用密钥对标头和有效负载进行编码而创建，确保令牌的完整性。

• 在用户认证时，服务器生成一个 JWT。
• 此 JWT 会发送回客户端并进行存储，通常存储在本地存储或仅限 HTTP 的 Cookie 中。
• 客户端在后续请求的 HTTP 授权标头中包含此令牌。
• 服务器验证令牌，如果有效，则授予访问权限。

• 可扩展性：由于无状态的特性，JWT 非常适合分布式系统。
• 灵活性：它们可以在不同的域和应用程序中使用。
• 安全性：正确实施后，它们提供了一种处理用户身份验证的安全方式。

• 传输安全性：至关重要的是通过 HTTPS 传输 JWT。
• 存储：安全地存储 JWT 以防止 XSS 攻击和其他漏洞。

• 实现短寿命 JWT 并使用刷新令牌来续订访问权限，而无需重新验证。 了解基于会话的身份验证

是一种方法，其中服务器在维护用户身份验证记录方面发挥着关键作用。

1. 用户认证：用户提供凭据，服务器验证。
2. 会话创建：认证成功后，服务器创建一个包含唯一标识符、用户标识符、会话开始时间、过期时间以及可能包含的其他上下文信息（如IP地址和用户代理）的会话记录。将其存储在数据库中。
3. Cookie 存储：将该会话标识符发送回用户浏览器，并存储为 cookie。
4. 会话验证：用户浏览器的每个请求都包含此 cookie，服务器通过查询数据库验证会话。如果有效，则处理请求。

• 简单性和可靠性：服务器的会话记录充当集中式真实来源，使其易于管理用户会话。
• 撤销效率：可以通过删除或使会话记录无效来快速撤销访问权限，确保最新的会话有效性。

• 大规模性能问题：每次会话验证都依赖数据库交互可能会引入延迟，特别是对于高流量应用程序。
• 动态环境中的延迟：在具有动态客户端的应用程序中，此延迟可能会影响用户体验，从而使基于会话的身份验证在这种情况下不太理想。

在 JWT 和基于会话的身份验证之间进行选择取决于您的应用程序的特定需求。如果您优先考虑无状态和可扩展性，JWT 可能是您的首选。对于立即控制会话至关重要的传统应用程序，基于会话的身份验证占上风。理解这些概念及其含义是开发安全高效的 Web 应用程序的关键。