大家做登录认证用的是 SpringSession 还是 token？说下用和不用的理由

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 732 天前的主题，其中的信息可能已经有所发展或是发生改变。

token

认证

理由

5 条回复 • 2022-11-09 09:00:58 +08:00

ration

2022-11-08 22:32:56 +08:00 via Android

个人观点，前后端分离，api 接口项目一般用 token 。不分离的项目用 SpringSession

mmdsun

2022-11-09 01:02:24 +08:00 via iPhone

spring session 其实也能用 token 请求头那种：
https://docs.spring.io/spring-session/reference/guides/java-rest.html

现在一般都用 JWT Token 吧。

night98

2022-11-09 03:50:38 +08:00

token 吧，前端好理解

@mmdsun #2 话说 jwt 这玩意应用范围太小了，而且很多人压根没搞明白这玩意怎么玩，各种亮瞎眼的操作

wangxiaoaer

2022-11-09 08:33:43 +08:00

session 和常规 token 没有本质区别，都是通过一个标识指代存储在服务器端的信息，这个标识可以通过 cooki 传递，也可以通过 header 、请求参数传递，很多人搞不清楚这一点。

另外之所以说到常规 token 是因为还有个 jwt ，jwt 本身可以携带信息，不需要服务端二次查询。

oldshensheep

2022-11-09 09:00:58 +08:00 via Android

session 和 jwt 的区别在有无状态。
如果你要管理用户登录状态等，肯定用 session 。如果你用 jwt 有点脱裤子放屁的味道。因为 jwt 无状态，你又要重新造轮子。
比如，用 jwt 无法强制下线，更改密码无法强制重新登录等等。。。
如果你 jwt 用 redis 实现上述功能，还不如用 session 。
当然你用 token 代替 cookie 倒是可以