PHP Session与JWT：身份验证与会的比较-CSDN博客

本文链接：https://blog.csdn.net/JavaCodePro/article/details/149855186

📕我是廖志伟，一名Java开发工程师、《Java项目实战——深入理解大型互联网企业通用技术》（基础篇）、（进阶篇）、（架构篇）、《解密程序员的思维密码——沟通、演讲、思考的实践》作者、清华大学出版社签约作家、Java领域优质创作者、CSDN博客专家、阿里云专家博主、51CTO专家博主、产品软文专业写手、技术文章评审老师、技术类问卷调查设计师、幕后大佬社区创始人、开源项目贡献者。

📘拥有多年一线研发和团队管理经验，研究过主流框架的底层源码(Spring、SpringBoot、SpringMVC、SpringCloud、Mybatis、Dubbo、Zookeeper)，消息中间件底层架构原理(RabbitMQ、RocketMQ、Kafka)、Redis缓存、MySQL关系型数据库、 ElasticSearch全文搜索、MongoDB非关系型数据库、Apache ShardingSphere分库分表读写分离、设计模式、领域驱动DDD、Kubernetes容器编排等。

📙不定期分享高并发、高可用、高性能、微服务、分布式、海量数据、性能调优、云原生、项目管理、产品思维、技术选型、架构设计、求职面试、副业思维、个人成长等内容。

Java程序员廖志伟

💡在这个美好的时刻，笔者不再啰嗦废话，现在毫不拖延地进入文章所要讨论的主题。接下来，我将为大家呈现正文内容。

CSDN

# 🌟 PHP中的Session与JWT：身份验证与会话管理的比较 ## 🍊 一、技术原理 ### 🎉 1. Session **技术原理**：Session是一种服务器端技术，通过在服务器上开辟一块内存或使用文件、数据库等存储介质来保存用户的会话信息。当用户访问网站时，服务器会为每个用户创建一个唯一的session ID，并将这个ID存储在服务器端。客户端在后续的请求中需要携带这个session ID，以便服务器识别用户身份。 **应用场景**： - **传统的单体Web应用**：对于功能相对简单、用户规模不是特别大的单体Web应用，使用session管理会话比较方便。 - **对数据传输量敏感且服务器资源充足**：如果应用中每次请求传输的数据量较大，使用session可以减少传输的会话数据，只需要传递session ID。 **优势与局限**： **优势**： - **简单易用**：Session的使用相对简单，易于理解和实现。 - **数据安全**：Session ID存储在服务器端，相对安全。 **局限**： - **扩展性差**：在分布式系统或多服务器环境下，管理session会变得复杂，需要借助如Redis、Memcached等缓存工具或数据库来实现会话共享。 - **安全风险**：session ID如果被窃取，攻击者可以通过伪造session ID的方式来冒充用户。此外，服务器端存储的会话数据也存在被攻击泄露的风险。 **实际案例**：在PHP中，可以使用`session_start()`函数来启动session，使用`$_SESSION`数组来存储和访问会话数据。 ```php session_start(); $_SESSION['username'] = 'JohnDoe'; echo $_SESSION['username']; ``` ### 🎉 2. JWT **技术原理**：JWT（JSON Web Token）是一种基于令牌（token）的机制，令牌中包含了用户的身份信息，以JSON格式进行编码，保存在客户端（通常是浏览器的localStorage、sessionStorage或cookie中）。服务器在验证JWT时，会使用签名算法（如HMAC算法或RSA公钥/私钥对）来保证令牌的完整性和真实性。 **应用场景**： - **前后端分离的应用**：在前后端分离的架构中，JWT可以方便地在不同的服务之间传递用户身份信息，后端服务不需要共享会话存储。 - **移动应用和第三方接口**：当开发移动应用或需要为第三方提供API时，JWT是一个很好的选择。 - **微服务架构**：在微服务架构中，各个服务之间需要独立进行身份验证和授权，JWT无需依赖共享存储的特性，使得它非常适合在微服务之间传递用户身份和权限信息。 **优势与局限**： **优势**： - **安全性高**：JWT使用签名算法来保证令牌的完整性和真实性，只要签名密钥不泄露，攻击者就难以篡改JWT的内容。 - **扩展性好**：由于服务器验证JWT时不需要依赖特定的存储，所以天然适合分布式和微服务架构。 **局限**： - **数据传输量大**：每次请求时都会传输完整的JWT，相比session机制，传输的数据量相对较大。 - **客户端存储风险**：JWT保存在客户端，存在被攻击泄露的风险。 **实际案例**：在PHP中，可以使用`jsonwebtoken`库来生成和验证JWT。 ```php require 'vendor/autoload.php'; use \Firebase\JWT\JWT; use \Firebase\JWT\Key; $secretKey = 'your_secret_key'; $payload = array( "iss" => "example.com", "sub" => "1234567890", "iat" => 1356999544, "exp" => 1357000000 ); $token = JWT::encode($payload, $secretKey, 'HS256'); echo $token; ``` ## 🍊 二、区别 ### 🎉 1. 存储方式 | 技术 | 描述 | | --- | --- | | Session | 服务器端技术，在服务器上开辟一块内存或使用文件、数据库等存储介质来保存用户的会话信息。 | | JWT | 一种基于令牌（token）的机制，令牌中包含了用户的身份信息，以JSON格式进行编码，保存在客户端（通常是浏览器的localStorage、sessionStorage或cookie中）。 | ### 🎉 2. 数据传输 | 技术 | 描述 | | --- | --- | | Session | 客户端只需要在请求中携带session ID，真正的用户会话数据存储在服务器端。 | | JWT | 每次请求时都会传输完整的JWT，相比session机制，传输的数据量相对较大。 | ### 🎉 3. 扩展性 | 技术 | 描述 | | --- | --- | | Session | 在分布式系统或多服务器环境下，管理session会变得复杂，需要借助如Redis、Memcached等缓存工具或数据库来实现会话共享。 | | JWT | 由于服务器验证JWT时不需要依赖特定的存储，所以天然适合分布式和微服务架构。 | ### 🎉 4. 安全性 | 技术 | 描述 | | --- | --- | | Session | session ID如果被窃取，攻击者可以通过伪造session ID的方式来冒充用户。此外，服务器端存储的会话数据也存在被攻击泄露的风险。 | | JWT | JWT使用签名算法来保证令牌的完整性和真实性，只要签名密钥不泄露，攻击者就难以篡改JWT的内容。 | ## 🍊 三、使用场景 ### 🎉 1. Session | 场景 | 描述 | | --- | --- | | 传统的单体Web应用 | 对于功能相对简单、用户规模不是特别大的单体Web应用，使用session管理会话比较方便。 | | 对数据传输量敏感且服务器资源充足 | 如果应用中每次请求传输的数据量较大，使用session可以减少传输的会话数据，只需要传递session ID。 | ### 🎉 2. JWT | 场景 | 描述 | | --- | --- | | 前后端分离的应用 | 在前后端分离的架构中，JWT可以方便地在不同的服务之间传递用户身份信息，后端服务不需要共享会话存储。 | | 移动应用和第三方接口 | 当开发移动应用或需要为第三方提供API时，JWT是一个很好的选择。 | | 微服务架构 | 在微服务架构中，各个服务之间需要独立进行身份验证和授权，JWT无需依赖共享存储的特性，使得它非常适合在微服务之间传递用户身份和权限信息。 | 总之，选择使用session还是JWT，需要根据具体的应用场景、架构特点以及对安全性、扩展性等方面的需求来综合考虑。

CSDN

博主分享

📥博主的人生感悟和目标

Java程序员廖志伟

📙经过多年在CSDN创作上千篇文章的经验积累，我已经拥有了不错的写作技巧。同时，我还与清华大学出版社签下了四本书籍的合约，并将陆续出版。

《Java项目实战—深入理解大型互联网企业通用技术》基础篇的购书链接：https://item.jd.com/14152451.html
《Java项目实战—深入理解大型互联网企业通用技术》基础篇繁体字的购书链接：http://product.dangdang.com/11821397208.html
《Java项目实战—深入理解大型互联网企业通用技术》进阶篇的购书链接：https://item.jd.com/14616418.html
《Java项目实战—深入理解大型互联网企业通用技术》架构篇待上架
《解密程序员的思维密码--沟通、演讲、思考的实践》购书链接：https://item.jd.com/15096040.html

面试备战资料

八股文备战

场景	描述	链接
时间充裕（25万字）	Java知识点大全（高频面试题）	Java知识点大全
时间紧急（15万字）	Java高级开发高频面试题	Java高级开发高频面试题

理论知识专题（图文并茂，字数过万）

技术栈	链接
RocketMQ	RocketMQ详解
Kafka	Kafka详解
RabbitMQ	RabbitMQ详解
MongoDB	MongoDB详解
ElasticSearch	ElasticSearch详解
Zookeeper	Zookeeper详解
Redis	Redis详解
MySQL	MySQL详解
JVM	JVM详解

集群部署（图文并茂，字数过万）

技术栈	部署架构	链接
MySQL	使用Docker-Compose部署MySQL一主二从半同步复制高可用MHA集群	Docker-Compose部署教程
Redis	三主三从集群（三种方式部署/18个节点的Redis Cluster模式）	三种部署方式教程
RocketMQ	DLedger高可用集群（9节点）	部署指南
Nacos+Nginx	集群+负载均衡（9节点）	Docker部署方案
Kubernetes	容器编排安装	最全安装教程