jwt 如何实现踢人,session 和 jwt 鉴权的区别
Session流程:
1、登录
2、服务端产生session并保存在内存中,并向客户端写入sessionId
3、客户端请求,带上cookie中的sessionId
4、客户端根据sessionId 去验证身份
JWT流程:
1、登录
2、服务端根据用户信息,加密生成token,并返回给客户端
3、客户端请求header里面带上token
4、服务端根据带上来的token,用私钥解密,得到用户信息,验证身份
区别:
session机制是把一把钥匙保存在客户端,请求的时候送到服务端,用来打开服务端的保险箱(当然,服务端的保险箱一般情况下都没有加密);
JWT机制就是把一个保险箱放在客户端,请求的时候把整个保险箱送到服务端,服务端使用自己独有的钥匙打开保险箱获得或者更新里面的东西;
session存储在服务器的内存中,需要很大内存,大量用户,负载均衡,多服务器不太好扩展。
而 jwt 的 token 是存在客户端,扩展没有问题
多端设备条件下,session机制会遇到跨域问题,token不存在
jwt存放到客户端的token通常要大一些,这是缺点,但是不要紧
现在我们想要踢人,只需要将用户相关的令牌从redis里删除,或置为无效即可。
