[转] 别使用 JWT 认证！

[ZhenHe17]

已经有前辈翻译了，这里贴一下地址

原文：Stop using JWT for sessions

原文续：Stop using JWT for sessions, part 2: Why your solution doesn't work

译文：请停止使用 JWT 认证 --by lizheming

其他相关文章：

• cookies-vs-tokens-definitive-guide
  • 详尽的jwt说明，包括常见的攻击手段防范，附带demo
• 官方文档

一些总结

简单的说一些个人观点

• JWT被劫持后可以原封不动的通过服务器验证，而session id经过一些处理后则不能原封不动的使用。
• JWT储存在客户端中，服务器只需验证JWT，有效减轻服务器压力。
• JWT是无状态、内容可扩展的
• JWT储存在localstorage里容易被XSS攻击，储存在cookie里则和传统session一样会受到CSRF攻击。XSS攻击比较好理解也容易防范，当前普及的框架也有对用户输入做相应处理

个人认为，传统cookie+session的安全性是成熟的、经过考验的，而JWT的安全性目前来看也较有保障，能够担起身份验证的重任，同时还有减轻服务器压力、可以跨域验证、储存内容可自定义的优点。

才疏学浅，若有偏颇，欢迎指正补充