关于JWT与cookie和token的区别说明-Java开发

关于“关于JWT与cookie和token的区别说明”的完整攻略，我将分几个方面进行讲解。

关于“关于JWT与cookie和token的区别说明”的完整攻略，我将分几个方面进行讲解。

什么是JWT、cookie和token？

JWT

JWT是一种基于JSON的开放标准（RFC 7519），用于在网络上传输安全可靠的声明，主要用于身份认证和授权。它实际上就是一个字符串，在前端和后端之间传递，其中包含了一些信息，比如用户的ID和角色等，并通过数字签名的方式来防止被篡改。

cookie

Cookie是一种通过浏览器在客户端本地存储的信息，它可以是服务器存储在客户端的信息，也可以是客户端使用JavaScript写入到本地的信息。通常用于保存用户登录状态等。

token

Token是一种通过API在客户端和服务端之间传递的信息，它可以包含一些用户信息或操作信息等。客户端在请求服务端时，需要在Header或者请求参数中带上Token，服务端通过验证Token来进行身份认证和授权。

JWT、cookie和token之间有什么区别？

区别一：存储位置不同

JWT和Token的存储位置是在客户端：前端将用户信息加密后储存在浏览器中，后端进行token或jwt的验证。而cookie的存储位置是在服务端：服务端将用户信息存储在cookie中，前端发送请求时自动携带。

区别二：安全性不同

在安全性方面，JWT是最为安全的，其使用数字签名来保证信息不会被篡改，且可以设置过期时间。Token的安全性相对较低，如果被截获则容易被用来进行恶意攻击。而Cookie的安全性也比较低，因为存储在客户端，容易被窃取，而且还有跨站点脚本攻击（XSS）和跨站点请求伪造（CSRF）等问题。

区别三：好处不同

JWT和Token的好处在于，客户端可以存储用户信息，避免了频繁的请求。而Cookie的好处在于可以设置过期时间，如果设置很长就可以避免了频繁的登录。

JWT、cookie和token何时使用？

通常情况下，如果是RESTful API的前后端分离模式，就可以使用JWT或者Token，这样前端可以把Token或者JWT储存在客户端中，每次请求时携带，避免了频繁的登录，而且不需要考虑跨域问题。而如果是传统的后端渲染模式，就可以使用cookie+session的方式，每次请求时自动携带cookie，后端就可以管理session了。

JWT示例说明

下面是一个JWT示例的代码：

const jwt = require('jsonwebtoken')

// 生成JWT
const payload = { id: 1001, name: '小明' }
const secret = 'abcdefg'
const token = jwt.sign(payload, secret, { expiresIn: '1h' })

// 验证JWT
const decoded = jwt.verify(token, secret)
console.log(decoded)

在上面的例子中，我们使用jsonwebtoken库来生成JWT，传入的payload是一个对象，表示要加密的信息；然后传入一个secret作为密钥，用于加密和解密。最后使用过期时间expiresIn设置token过期时间，并使用sign函数生成token。另外在验证的时候，我们使用了verify函数来验证token的正确性，并将返回的decoded解密后的信息输出。

Token示例说明

下面是一个Token示例的代码：

const express = require('express')
const bodyParser = require('body-parser')
const jwt = require('jsonwebtoken')

const app = express()
app.use(bodyParser.json())

// 生成Token
app.post('/login', (req, res) => {
    const { username, password } = req.body
    if (username === 'admin' && password === '123456') {
        const payload = { id: 1001, name: '小明' }
        const secret = 'abcdefg'
        const token = jwt.sign(payload, secret, { expiresIn: '1h' })
        res.json({ code: 0, message: '登录成功', token })
    } else {
        res.json({ code: 1, message: '用户名或密码错误' })
    }
})

// 验证Token
app.get('/article', (req, res) => {
    const token = req.headers.authorization
    const secret = 'abcdefg'
    try {
        const decoded = jwt.verify(token, secret)
        res.json({ code: 0, message: '获取文章成功', author: decoded })
    } catch (e) {
        res.json({ code: 1, message: '用户认证失败' })
    }
})

app.listen(3000, () => {
    console.log('app is listening at port 3000')
})

这个例子是一个简单的Express服务器，我们在登录的时候，如果用户名和密码匹配，则生成一个Token，并将其返回给客户端。而当客户端请求获取文章时，需要在请求Header中携带Token进行身份认证。在服务端，我们通过Express的中间件来解析请求体，并使用jsonwebtoken库来生成和验证Token。当验证失败的时候，返回一个错误信息，否则正常处理请求。

这个例子非常简单，但是可以很好地说明Token的认证过程以及Token和JWT的区别。