session - 基于 token 的身份验证和可扩展性？幻觉？

Question

我刚刚读过The Ins and Outs of Token-based Authentication 。它声称可扩展性是基于服务器的身份验证的主要问题，因为服务器必须在本地存储 session 。它会提示基于 token 的身份验证作为解决方法。

但是真的吗？

身份验证只是可能导致可扩展性问题的地方之一。只要服务器端存储了任何特定于用户的状态信息，无论它存储在 session 范围还是 Web 应用程序范围，也会导致可扩展性问题。如果说仅基于 token 的身份验证就可以解决可扩展性问题，那就太夸张了。还有太多其他更强大的因素。 仅仅因为基于 token 的身份验证是无状态的，并不意味着整个服务器可以是无状态的。

我们以 JWT 为例，通过definition of JWT :

JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed.

我认为 JWT 不适合存储身份验证数据之外的状态信息。因为JWT存储的常见合理位置都有较小的大小限制，例如HTTP header、Cookie。

你同意吗？有人可以解释一下吗？

Answer 1

您的应用程序是否需要 session 状态来处理其他事情不会影响使用 JWT token 的可扩展性特征。

完全有可能设计一个真正的无状态应用程序，在这种情况下，使用基于 token 的身份验证可以让您保持无状态。

您不应使用安全 token 来存储 session 信息，因为 token 已签名并且 session 信息通常是不稳定的。每次声明之一发生更改时，发行人都需要放弃 token 。