会话 cookie 与 JWT

Posted

技术标签:

【中文标题】会话 cookie 与 JWT【英文标题】:Session cookies vs JWT 【发布时间】:2017-01-11 13:32:27 【问题描述】:

问题:使用 cookie 处理用户会话是否会妨碍后端的可扩展性,因为所有 API 都必须位于同一个域中。基本上,如果一个 API 开始收到大量请求,并且您想添加另一台服务器以平衡负载,您将不得不添加整个 Web 服务器,而不仅仅是一个运行 API 的小型微型 Web 服务器,主要是因为 cookie 用于验证用户请求和 cookie 无法在 CORS 请求中存活。我是对还是不知道我到底在说什么哈哈需要一些意见我建议我们制作所有 API 的微服务并使用 JWT 进行用户会话

【问题讨论】:

【参考方案1】:

Cookie 几乎与可扩展性无关,因为您可能会使用子域。您可以继续使用它们,只要您的所有服务都有一个公共会话存储。

JWT 主要适用于服务器到服务器的身份验证,在我看来,我将它用作您的主要身份验证流程是大材小用。

【讨论】:

如果我在 MEAN 堆栈上编写了一个使用 cookie 进行会话的应用程序,并且我想说在同一台服务器上的 golang 中添加一个 API,但在不同的端口上侦听。如何使 cookie 在应用客户端向 go API 发出的请求中存活

以上是关于会话 cookie 与 JWT的主要内容,如果未能解决你的问题,请参考以下文章

会话 Cookie 与持久性 Cookie

07.会话跟踪技术cookie与session

关于cookie(会话cookie与持久cookie)

会话技术cookie与session

JavaScript:set-cookie 和响应处理原子操作吗?

Web会话跟踪:Cookie与Session