目录
1、概念
-
Session: 安全基石是 服务端状态。Session ID 只是一个无意义的随机字符串(钥匙),真正的用户数据在服务器保险箱里。
-
JWT: 安全基石是 密码学签名和客户端存储。JWT 本身就是一个包含信息的自验证令牌(护照)。
Session工作流程:
-
登录: 用户输入用户名密码登录。
-
创建Session: 服务器验证通过后,在内存或数据库(如Redis)中创建一个唯一的 Session ID 和对应的会话数据(例如
{user_id: 123, username: 'Alice'})。 -
返回Cookie: 服务器在 HTTP 响应头中通过
Set-Cookie将 Session ID 发送给浏览器。 -
后续请求: 浏览器此后对该网站的每一个请求,都会自动通过
Cookie请求头携带这个 Session ID。 -
验证: 服务器收到请求,取出 Session ID,去自己的存储中查找对应的会话数据。如果找到且有效,就认为用户已认证。
-
登出: 用户登出时,服务器端会销毁这个 Session 数据。
JWT工作流程:
-
登录: 用户输入用户名密码登录。
-
生成JWT: 服务器验证通过后,使用密钥生成一个 JWT。这个 JWT 包含三部分:
-
Header(头部): 说明令牌类型和签名算法。
-
Payload(负载): 存放实际需要传递的数据(例如
{user_id: 123, username: 'Alice', exp: 1730000000})。exp是过期时间。 -
Signature(签名): 对前两部分的签名,用于防止令牌被篡改。
-
-
返回JWT: 服务器将 JWT 返回给客户端。客户端通常会将其保存在
localStorage或sessionStorage中,或者也通过 Cookie 返回(但 Cookie 的HttpOnly属性不适用时)。 -
后续请求: 客户端在请求头(通常是
Authorization: Bearer <token>)中携带 JWT。 -
验证: 服务器收到 JWT,无需查询数据库 。只需用密钥验证签名是否有效,并检查令牌是否过期(检查
exp字段)。验证通过后,就直接信任 Payload 里的用户信息。 -
登出: 由于服务器无状态,它无法主动让一个 JWT 失效。登出通常只是客户端删除本地存储的 JWT。如果要实现"立即失效",需要引入额外的黑名单机制,这就又变成了有状态。
2、安全维度对比(HTTPS下)
| 安全维度 | Session | JWT | 分析与解释 |
|---|---|---|---|
| 令牌/凭证泄露后的响应能力 | ✅ 优势明显 可立即撤销 | ❌ 固有弱点 依赖过期时间 | 这是最关键的差异。 HTTPS 防止了网络窃听,但无法防止令牌通过其他途径(如 XSS)泄露。 • Session: 服务端可立即使会话失效,攻击者盗取的 Session ID 即刻作废。 • JWT: 服务器无法主动作废单个 JWT。攻击者可在令牌有效期内(可能几小时或几天)一直使用。 |
| 数据篡改防护 | ✅ 优势明显 服务端存储,客户端无法篡改 | 🔶 依赖正确配置 依赖密码学签名 | HTTPS 保证了传输中不被篡改,但无法保证客户端存储的完整性。 • Session: 数据在服务端,绝对安全。 • JWT: 需确保使用强算法(如 RS256)和强密钥,并正确验证签名,防止算法混淆等攻击。 |
| 跨站请求伪造(CSRF) | 🔶 有风险,但可防御 | ✅ 默认免疫 (当不使用 Cookie 时) | HTTPS 与 CSRF 无关。CSRF 利用的是浏览器对目标站点的自动认证机制 。 • Session: 依赖 Cookie 自动携带,是 CSRF 的天然目标。必须配合 Anti-CSRF Tokens 或设置 SameSite=Strict/Lax Cookie 属性来防御。 • JWT: 若存储在 localStorage 并通过 Authorization 头手动发送,浏览器不会自动携带,故免疫 CSRF。但若将 JWT 存入 Cookie,则面临与 Session 相同的 CSRF 风险。 |
| 跨站脚本攻击(XSS) | ✅ 可强力防御 (通过 HttpOnly Cookie) | ❌ 高风险 (当存储在 localStorage 时) | HTTPS 与 XSS 无关。XSS 是应用层漏洞,攻击者注入恶意脚本窃取客户端数据。 • Session: 可通过 HttpOnly Cookie 标志,彻底阻止 JavaScript 读取 Session ID ,这是对 XSS 窃取凭证的最有效防御。 • JWT: 若为方便前端使用而存储在 localStorage 或普通 Cookie 中,则完全暴露给 JavaScript,极易被 XSS 窃取。虽然也可存入 HttpOnly Cookie,但这会使前端无法读取 JWT 内容,并使其失去 CSRF 免疫力。 |
| 适用范围与配置复杂性 | 相对简单 | 配置复杂,易踩坑 | HTTPS 不改变两者的实现复杂度。 • Session: 逻辑直观,风险模式已知。 • JWT: 需要谨慎处理算法、密钥管理和令牌撤销等问题。 |
3、选择建议
在 HTTPS 的保护下,Session 机制通常能提供更"坚固"和"可控"的安全模型,尤其适合传统的服务端渲染 Web 应用,因为它将敏感信息牢牢控制在服务端,并提供了有效的防御手段来应对最常见的 Web 攻击(XSS、CSRF)。
JWT 的优势不在于"更安全",而在于"更适用于无状态和分布式架构"。选择 JWT 往往是为了架构上的灵活性,但在安全上需要付出更多努力和更精细的设计来弥补其固有缺陷。
4、场景
场景一:传统的、由服务端主导的 Web 应用(如电商、后台管理系统)
推荐:Session
-
理由:
-
最强的主动安全控制: 你能随时让用户下线或撤销特定会话,这对于管理功能至关重要。
-
最佳的 XSS 防御: 使用
HttpOnly+Secure+SameSiteCookie 组合,可以构建一个极其坚固的认证机制,即使网站存在 XSS 漏洞,攻击者也很难直接窃取到登录凭证。 -
CSRF 可防: CSRF 的防御手段(如 Token、SameSite Cookie)已经非常成熟和标准化。
-
在这种场景下,Session 提供的"服务端控制力"是巨大的安全优势。
场景二:API 优先的架构(如 SPA 前后端分离、移动应用后端、微服务)
推荐:JWT
-
理由:
-
无状态与扩展性: 这是 JWT 的核心价值。API 服务器无需维护会话状态,非常适合云原生和分布式部署。
-
天然免疫 CSRF: 对于主要为 SPA 或移动 App 服务的 API,使用
Authorization头传递 JWT 可以完全避免 CSRF 问题。 -
对第三方友好: 易于实现 API 密钥式的认证,方便为第三方应用提供接口。
-
安全妥协与应对策略:
选择 JWT 意味着你必须接受其安全弱点,并采取额外措施补偿:
-
应对令牌泄露: 使用短期访问令牌(Short-lived Access Token) 配合刷新令牌(Refresh Token) 。访问令牌过期时间很短(如15分钟),即使泄露,危害窗口也小。刷新令牌存储于安全的
HttpOnlyCookie 或服务端,用于获取新的访问令牌,且可被主动撤销。 -
应对 XSS: 投入巨大精力进行安全的编码实践、内容安全策略(CSP)等,从根本上预防 XSS 漏洞。因为你的令牌一旦被窃,后果很严重。