由于多种网络应用中,身份验证和信息安全受到极大的重视,因此许多研究者们倾向于借助于两种不同的技术来管理身份信息,分别是基于JSON Web Token(JWT)的令牌验证机制和基于Redis的非关系性数据存储技术,当今它们两者在应用上有许多不同。
JWT作为一种开放的标准(RFC 7519)来表示一个安全的声明,这些声明可由各种客户端安全的传递,这样就能够在不同的服务器端之间实现安全的用户认证。由于JWT是一种独立的无状态标准,因此不需要额外的数据存储过程,也能够在本地保存状态,这使得在多服务器环境中不必多次进行状态检查,比如,当你的应用使用OAuth2.0的授权形式时,JWT可以处理认证授权的凭证、登录凭证和会话控制,并且这些凭证在网络之间传输时不会存储。
另一方面,Redis是一种高效的非关系型数据存储,它可以将用户的身份认证信息作为key-value进行存储,其中value是一个JSON对象,可以在服务端被访问。Redis也支持更新数据,这大大减少了额外的I / O操作数量,并且可以在多个客户端之间共享数据,而不会引起写锁的互斥操作,从而简化了开发的过程,从而极大的提高吞吐量和响应速度。
虽然JWT和Redis都可以用来管理身份信息,但它们各自有其优缺点。JWT 带给我们,无状态性和可跨域传输,可以提供可验证性,但也可能带来安全性问题,需要特别审慎地处理获取令牌的途径;而Redis ,因其单线程的模式,可以提供快速的访问和持久化的存储,但需要考虑外包罩安全以及多个客户端之间的数据共享和同步安全性问题,以避免出现安全漏洞。
// 来源:https://www.nzw6.com
