用了 JWT，上线第一天，系统就挂了......

正文

请到「今天看啥」查看全文

最老方案：Session

要说身份验证这事，Session 肯定是“资历最老”的了。几乎所有人刚入门做登录系统，第一个就是它。

那么它是怎么工作呢的？完整的流程，大致可以分为 6 步：

1. 用户输入账号密码，点登录；
2. 后端验证通过后，创建一条 Session 数据，生成唯一的 Session ID；
3. 后端通过 Set-Cookie 把这个 Session ID 发给浏览器；
4. 浏览器自动保存这个 Cookie；
5. 以后每次请求，这个 Cookie 自动带上，服务端就能识别出“哦，你是谁了”；
6. 用户退出登录？后端把这张纸条撕了，Session 就失效了。

简答来说就是： 用户登录后，服务端给你发个 “小纸条”（Session ID），你每次来都带着这张纸条，服务端一看，“哦，你是老李啊，进吧吧。”。

根据以上流程，我们就可以发现：使用 Session 时，对前端几乎 “无感知” 的，我们啥都不用操心：

• 浏览器自动帮我们带 Cookie；
• 登出只要后端把 Session 删了就行；
• 登录态是服务器说了算，能立刻失效，不留后患。

尤其在公司内网、传统后台项目中，香得很！

但是，为啥现在突然使用 Session 的就少了呢？

其实是因为前后端分离、微服务、移动端……这些场景对它实在不太友好。

• 服务端要维护 Session 状态， 不利于扩展和分布式部署 ；
• Cookie 传输存在劫持风险，必须配合 HTTPS、安全配置一起上；
• 在配合上 微服务、微前端、跨域 就更加麻烦了

所以，在现代的复杂项目中，Session 就用的越来越少了。

用的最多的方案：JWT

讲真，现在要是你说没用过 JWT（Token）

请到「今天看啥」查看全文