我几个月前开始使用Spring启动项目,并使用带有cookie的Spring JDBC会话。应用程序与payment.In为了让用户进入会话我从HTTPRequestservelet获取cookie并将其中的ID传递给JDBC会话以使用户进入会话。现在我已经阅读了关于弹簧安全性和JWT的内容,看起来它做同样的事情,但是以更加安全,标准化的方式,加上弹簧安全性来自Bcrypt,所以我现在的问题是因为我计划改变JWT和弹簧安全性,我的JDBC会话和cookie是否仍然相关?
答案 0 :(得分:2)
Cookie只是在请求和响应中从服务器发送到服务器的一小部分信息,用于维护与会话相关的信息。您可以随时忽略cookie(不只是在使用JWT时),只要您可以建立一种机制来存储和检索与会话相关的信息。
JWT用于发送和接收身份验证&授权信息和 NOT 会话相关信息,即当用户将商品添加到购物车时,您无法更改JWT。
因此,除了JWT之外,您可能还想使用cookie(或任何其他机制)来跟踪会话信息。
编辑:我最近发现,在cookie中发送JWT是已知的最佳实践之一。所以现在,你们两个世界都是最好的。