1. 核心关系图解:信封与信件
首先要纠正一个误区:Cookie 并不等于 Session。
-
Cookie(搬运工):是 HTTP 协议的一个 Header,负责在浏览器和服务器之间自动传递数据。
-
Session 或 JWT(货物):是具体存放用户数据的方式。
2. 深度对比表:Session vs JWT
面试官最看重的是你是否知道**"为什么要换掉传统 Session"**。
| 维度 | 传统 Session 模式 | JWT 模式 (你的项目) |
|---|---|---|
| 存储位置 | 服务端。数据存在服务器内存或 Redis 里。 | 客户端。数据存在用户浏览器的 Cookie 里。 |
| 传输内容 | 只是一个随机字符串(Session ID)。 | 是一个包含用户 ID、过期时间等的加密字符串。 |
| 查询成本 | 高。每次请求服务器都要查库/查内存。 | 低。服务器直接解密字符串,无需查库。 |
| 服务器压力 | 大。在线用户越多,服务器内存压力越大。 | 极小。服务器"两手空空",只负责验证。 |
| 水平扩展 | 难。多台服务器之间必须同步 Session 数据。 | 易。任何服务器只要有密钥,都能验证。 |
3. JWT 的灵魂:签名防篡改 (Signature)
你刚才觉得 JWT 和 Session 差不多,是因为它们都存在 Cookie 里。但 JWT 有个"防伪水印",这是 Session 没有的。
JWT 的第三部分是 Signature(签名)。
-
生成原理 :后端把
Header + Payload加上一个**只有后端知道的"密钥"**进行哈希加密。 -
校验原理 :如果用户在浏览器偷偷把 Payload 里的
userId从1改成了2。当他再次发送请求时,后端会拿被修改过的 Payload 重新算一次签名。 -
结论 :因为用户没有"密钥",他算出来的签名一定和后端存的不一样。后端一看签名对不上,就知道数据被改过了,直接报 401。
4. 你的"中国街健网"方案优劣总结
✅ 优点(为什么这么做):
-
无状态化:服务器不用存 Session,节省内存,方便未来部署多台服务器。
-
安全性 :配合 HttpOnly Cookie,黑客无法通过 XSS 脚本偷走 JWT。
-
防伪性:利用签名机制,确保用户信息不被篡改。
❌ 缺点(你需要准备的面试补丁):
-
不可撤回:JWT 一旦发出,除非到期,否则后端很难让它立即失效。
-
应对方案 :在面试中你可以说:"我结合了 Redis 黑名单,当用户点击退出登录时,把该 JWT 存入 Redis,拦截器校验时先查一下黑名单。"
5. 最终话术:面试官问你"两者的区别"时怎么说?
"Session 和 JWT 都可以通过 Cookie 传输,但核心区别在于**'状态管理'**。
Session 是有状态的,服务器就像存包处,只给用户一个号码牌,数据存在服务器。这在用户量大或多服务器部署时,会带来内存压力和 Session 同步问题。
JWT 是无状态的 ,服务器就像电影院,把用户信息印在票上并盖上防伪章发给用户,服务器不存数据。这极大提升了系统的水平扩展能力 和查询性能。在我的项目中,我选择了 JWT 并配合 HttpOnly Cookie,兼顾了高性能和安全性。"