JWT與Token的區別詳解

一、JWT與Token區別

JWT全稱為JSON Web Token，是一種用於身份驗證的標準。而Token一般指的是驗證/身份標識。因此，可以將JWT看作是Token的一種特定實現。

Token的通用解釋是伺服器用於識別特定用戶身份的唯一字元串。它可以是一串隨機字元，也可以是一個加密的字元串。Token通常包含一些元數據，用於描述與其相關聯的身份驗證信息，例如過期時間、所屬用戶等。

而JWT則是一個特殊的Token，在創建和驗證Token時使用的特定規範。與使用傳統Token相比，使用JWT的優點是可以在伺服器和客戶端之間安全地共享身份驗證信息，並保持標準和可互操作性。

二、JWT和Token的區別及優缺點

1、JWT的優點：

a）使用JWT能夠在不同的系統之間安全地共享信息；

b）天然支持跨域；

c）使用JWT能夠以更健康的方式提供跨域身份驗證。

2、JWT的缺點：

a）默認情況下，JWT存儲了一定數量的用戶信息，若是泄露，則會導致身份被盜；

b）使用JWT需要在伺服器上密鑰才能進行解碼，因此需要安全地保存密鑰，防止密鑰被盜用。

3、Token的優點：

a）Token可以直接存儲在客戶端，並且不需要在伺服器端存儲密鑰；

b）Token可以支持多種加密方式，包括摘要、對稱和非對稱加密。

4、Token的缺點：

a）Token需要每個請求都在伺服器端進行驗證，相對於JWT消耗更多的計算資源；

b）由於Token可能是伺服器端的一個無法預知的隨機字元串，因此需要進行安全性檢查，防止攻擊者篡改。

三、JWT怎樣讓Token失效

const jwt = require('jsonwebtoken');

//設置過期時間為30分鐘
const expireTime = Math.floor(Date.now() / 1000) + (30 * 60);

//創建JWT Token
const token = jwt.sign({
  data: 'Sample token data'
}, 'secret', { expiresIn: expireTime });

//使Token失效
setTimeout(() => {
  jwt.verify(token, 'secret', (err, decoded) => {
    if (err) {
      console.log('Token已失效');
    } else {
      console.log('Token仍然有效');
    }
  });
}, 31 * 60 * 1000);

四、JWT判斷Token是否過期

const jwt = require('jsonwebtoken');

//設置過期時間為30分鐘
const expireTime = Math.floor(Date.now() / 1000) + (30 * 60);

//創建JWT Token
const token = jwt.sign({
  data: 'Sample token data'
}, 'secret', { expiresIn: expireTime });

//判斷Token是否過期
jwt.verify(token, 'secret', (err, decoded) => {
  if (err) {
    console.log('Token已過期');
  } else {
    console.log('Token仍然有效');
  }
});

五、Token和JWT的區別

1、存儲方式不同：Token一般存儲在伺服器端；JWT則通常放置在客戶端本地存儲中，如localStorage或Cookie中。

2、使用範圍不同：Token可以是任何字元串，與特定規範無關，因此可以在各種應用程序中使用。而JWT則是基於JSON Web Token規範，主要用於Web應用程序和API身份驗證。

3、使用安全性不同：由於JWT存儲在客戶端，因此需要更加小心地保護密鑰，以確保沒有人可以篡改JWT。而僅存儲在伺服器上的Token不需要相同的保護措施，因為攻擊者無法獲得Token中的信息。