ios - native 移动应用程序的 Cookies 和 JWT 之间的显着差异

Question

我一直在我的网络应用程序中使用 Cookie 进行身份验证和 session 控制，并对它的功能感到满意。

一位 iOS 应用程序开发人员向我介绍说，最近很火的东西是 JWT(JSON Web Token)。他告诉我 JWT 是为原生移动应用程序进行身份验证和 session 的方式，并且没有给出具体示例，他表示 iOS 和 Android 应用程序都存在 Cookies 的各种问题。

所以我查找了 JWT，例如http://angular-tips.com/blog/2014/05/json-web-tokens-introduction/和 https://auth0.com/blog/2014/01/07/angularjs-authentication-with-cookies-vs-token/ ，而且我不明白为什么它比 Cookies 好得多(甚至有那么大不同)，更具体地说，为什么它在 native 移动应用程序中表现更好。看来，至少 iOS 可以很好地处理 Cookies ( Persisting Cookies In An iOS Application? )。

所以我的问题是，对于与服务器端 API 交互的 native 移动应用程序，使用 JWT 而不是 Cookie 进行身份验证和 session 有哪些具体优势和相关用例？请突出显示 Cookies 根本无法做到或做得更差的那些。

Answer 1

_{我们软件开发人员(有时)倾向于在我们看到的任何地方应用新的热门事物；这可能是谚语的变体，如果我们只有一把锤子，一切看起来都像钉子，在这种情况下，我们只是感到一种绝望的冲动，想要使用我们学到的这个新东西。}

这个比较的一个有趣的地方是 JWT 都不是或者 Cookie 实际上本身就是身份验证机制；第一个只是定义了一个 token format第二个是 HTTP state management mechanism .仅此就足以给我们一个暗示，主张一个比另一个好是错误的。

不过，这两者确实都广泛用于身份验证系统。

传统的服务器端 Web 应用程序使用 cookie 来跟踪经过身份验证的用户，这样他们就不会被迫在每次请求时提供其凭据。通常，cookie 的内容将是(希望)随机生成的唯一标识符，服务器将使用该标识符来查找存储在服务器上的 session 数据。

然而，对于一种新型的网络应用程序 - API - 更常见的是接受 token (大多数时候采用 JWT 格式)作为服务器决定是否应该授予访问权限的方式要求。这样做的原因可能是因为虽然传统的 Web 应用程序有一种主要类型的客户端，即 Web 浏览器，它完全支持 cookie，但 API 通常由本身不支持 cookie 的更简单的 HTTP 客户端使用。

我认为这也是为什么我们可能会争辩说基于 token 的身份验证对 native 移动应用程序更有意义。这些应用程序通常依赖于服务器端 Web API，我们已经看到，如果 API 支持 token ，它将增加可以使用它的客户端范围，因此这是最实际的做法。

总而言之，为了回答您的具体问题，我想说 JWT 在 native 移动应用程序上确实比 cookie 有优势，因为它们目前使用非常普遍，这意味着更多的学习资源，SDK，已知陷阱(主要是因为其他人已经做过但失败了)等。

尽管如此，只有在它们能为您提供所需的安全保证并最终简化您的场景时才使用它们。如果你还没有经历过它，我想你也会感激 Cookies vs Tokens: The Definitive Guide .