概述
cookie传到后端会解析成Map<String, String>
实际开发中通常只存"少量关键信息(比如一个 token)"
Session 在使用上类似 Map,通过 key-value 存储数据
Session一般存用户id、权限信息等。
一般情况下,讲Session序列化成json,以String类型,存到redis
分布式
JWT是无状态的,支持分布式
Session要支持分布式,需要存到redis里
单点登录
每一次登录成功,需要生成一个全新的 唯一的 sessionId
还需要把 userId 和 sessionId 存入redis
jwt的话,可以加入签发时间生成token,这样同一个用户,每次登录都是不同的token
也是一样,把 userId 和 token 存入redis。
安全
JWT 可以存储在 Cookie 或 localStorage 中。将 JWT 存在 Cookie 中可以利用 HttpOnly、Secure、SameSite 等属性提高安全性,但需要防范 CSRF 攻击;而存储在 localStorage 中可以避免 CSRF,但需要防范 XSS 攻击。因此,安全性取决于整体设计,而不是存储位置。
shell
HttpOnly = true (JS 读不到)
Secure = true (只走 HTTPS)
SameSite = Strict / Lax(防 CSRF)