使用客户端传递给服务器的JSessionId对用户进行身份验证是否安全?
假设在Spring应用程序中,我们为在登录时提供正确凭据的用户存储jsession id,并在数据库中根据该jsession id对每个后续请求进行身份验证。
此方法是否提供使用Java Web Tokens的相同安全级别?
答案 0 :(得分:1)
JWT令牌经过加密签名,因此与会话ID相比,它们更难伪造。
使用安全随机数生成器生成会话ID,根据实现情况,该生成器可以预测。
https://news.netcraft.com/archives/2003/01/01/security_advisory_2001011_predictable_session_ids.html
有关JWT优于会话ID的原因的更多信息,请点击此处: