了解 JHipster 的安全机制:何时使用 JWT、HTTP Session 或 OAuth2 和 OpenID Connect?

【问题标题】:Understanding security mechanisms of JHipster: When to use JWT, HTTP Session or OAuth2 and OpenID Connect?了解 JHipster 的安全机制:何时使用 JWT、HTTP Session 或 OAuth2 和 OpenID Connect?
【发布时间】:2021-07-02 19:14:29
【问题描述】:

我正在创建一个单一应用程序(例如电子商务或市场),我担心它是否安全。我了解(广义上)JWT 的工作原理,但不确定 HTTP Session 或 OAuth2 和 OpenID Connect。

建议什么时候使用这些选项?

【问题讨论】:

  • 我认为这是 Quora 上的一个问题
  • @Adriano,感谢您的建设性意见

标签: spring oauth-2.0 jwt jhipster httpsession


【解决方案1】:

对于单体应用,我宁愿推荐 HTTP 会话而不是 JHipster 的 JWT 实现,因为它更安全:在客户端,它使用仅 http 的安全 cookie,而 JWT 存储在浏览器的 LocalStorage 中。如果你想通过运行多个实例来水平扩展你的单体应用,你将不得不管理会话复制,但 Spring 做得很好。 HTTP 会话是众所周知的,并在 Spring Security 文档中进行了描述。

OAuth2 和 OpenID Connect 在您想要针对其他身份提供者(如 Google、Facebook 等)进行身份验证时会更好......它在微服务架构的上下文中也更有意义。

【讨论】:

  • 非常感谢!为了更好地理解:在哪些情况下 JWT 比 HTTP 更可取?
  • 是的,如果你希望你的应用是无状态的
猜你喜欢
  • 1970-01-01
  • 2019-11-05
  • 1970-01-01
  • 2021-10-22
  • 2017-08-12
  • 2016-06-28
  • 2020-12-25
  • 1970-01-01
  • 2019-03-08
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode