為何JWT不適合存儲Session

JSON Web Tokens，又稱 JWT。本文將詳解：為何 JWT 不適合存儲 Session，以及 JWT 引發(fā)的安全隱患。望各位對JWT有更深的理解！

?

原文地址：http://cryto.net/~joepie91/blog/2016/06/13/stop-using-jwt-for-sessions

?

十分不幸，我發(fā)現(xiàn)越來越多的人開始推薦使用 JWT 管理網(wǎng)站的用戶會話（Session）。在本文中，我將說明為何這是個非常非常不成熟的想法。

為了避免疑惑和歧義，首先定義一些術(shù)語：

• 無狀態(tài) JWT（Stateless JWT）：包含 Session 數(shù)據(jù)的 JWT Token。Session 數(shù)據(jù)將被直接編碼進 Token 內(nèi)。
• 有狀態(tài) JWT（Stateful JWT）：包含 Session 引用或其 ID 的 JWT Token。Session 數(shù)據(jù)存儲在服務(wù)端。
• Session token（又稱 Session cookie）：標準的、可被簽名的 Session ID，例如各類 Web 框架（譯者注：包括 Laravel）內(nèi)已經(jīng)使用了很久的 Session 機制。Session 數(shù)據(jù)同樣存儲在服務(wù)端。

需要澄清的是：本文并非挑起「永遠不要使用 JWT」的爭論 —— 只是想說明 JWT 并不適合作為 Session 機制，且十分危險。JWT 在其它方面的確有其用武之地。本文結(jié)尾，我將簡短地介紹一些合理用途。

首先需要說明

很多人錯誤地嘗試比較 Cookies 和 JWT。這種對比毫無意義，就像對比內(nèi)存和硬盤一樣。Cookies 是一種存儲機制，然而 JWT Tokens 是被加密并簽名后的令牌。

它們并不對立 —— 相反，他們可以獨立或結(jié)合使用。正確的對比應(yīng)當是：Session 對比 JWT，以及 Cookies 對比 Local Storage。

在本文中，我將把 JWT Tokens 同 Session 展開對比，并偶爾對比 Cookie 和 Local Storage。這樣的比較才有意義。

基于 Spring Boot + MyBatis Plus + Vue & Element 實現(xiàn)的后臺管理系統(tǒng) + 用戶小程序，支持 RBAC 動態(tài)權(quán)限、多租戶、數(shù)據(jù)權(quán)限、工作流、三方登錄、支付、短信、商城等功能

• 項目地址：https://github.com/YunaiV/ruoyi-vue-pro
• 視頻教程：https://doc.iocoder.cn/video/

JWT 坊間流傳的優(yōu)勢

在人們安利 JWT 時，常常宣揚以下幾點好處：

• 易于水平擴展
• 易于使用
• 更加靈活
• 更加安全
• 內(nèi)置過期時間功能
• 無需詢問用戶「本網(wǎng)站使用 Cookies」
• 防止 CSRF 攻擊
• 更適用于移動端
• 適用于阻止 Cookies 的用戶

我將會逐條闡述以上觀點為何是錯誤或誤導(dǎo)性的，其中部分解釋可能會有些模糊，這主要是因為這些「好處」的表述本身就比較模糊。

易于水平擴展？

這是列表中唯一一條在技術(shù)層面部分正確的「好處」，但前提是你使用的是無狀態(tài) JWT Tokens。然而事實上，幾乎沒人需要這種橫向擴展能力。有很多更簡單的拓展方式，除非你在運維像淘寶這樣體量的系統(tǒng)，否則根本不需要無狀態(tài)的會話（Stateless sessions）。

一些擴展有狀態(tài)會話（Stateful sessions）的例子：

1. 「在單臺服務(wù)器上運行多個后端進程」 ：只需在此服務(wù)器上安裝 Redis 服務(wù)用于存儲 Session 即可。
2. 「運行多臺服務(wù)器」 ：只需一臺專用的 Redis 服務(wù)器用于存儲 Session 即可。
3. 「在多集群內(nèi)運行多臺服務(wù)器」 ：會話保持（又稱：粘滯會話）。

以上所有場景在現(xiàn)有軟件系統(tǒng)內(nèi)都具備良好的支持，你的應(yīng)用需要進行特殊處理的可能性基本為零。

或許你在想，應(yīng)當為你的應(yīng)用預(yù)留更多調(diào)整空間，以防未來需要某些特殊操作。但實踐告訴我們，以后再替換 Session 機制并不困難，唯一的代價是，在遷移后所有用戶將被強制登出一次。我們沒必要在前期實現(xiàn) JWT，尤其是考慮到它所帶來的負面影響。

易于使用？

這個真沒有。你不得不自行處理 Session 的管理機制，無論是客戶端還是服務(wù)端。然而標準的 Session cookies 則開箱即用，JWT 并沒有更簡單。

說白了，目前各種開箱即用的框架并沒有自動集成 JWT，需要研發(fā)人員自行處理。

更加靈活？

我暫時還沒看到有人成功地闡述「JWT 如何更加靈活」。幾乎每個主流的 Session 實現(xiàn)，都允許你直接把數(shù)據(jù)存儲進 Session，這跟 JWT 的機制并沒有差別。據(jù)我所知，這只是個流行語罷了。

更加安全？

一大批人認為 JWT Tokens「更加安全」，理由是使用了加密技術(shù)。實際上，簽名后的 Cookies 比未簽名的 Cookies 同樣更加安全，但這絕不是 JWT 獨有的，優(yōu)秀的 Session 實現(xiàn)均使用簽名后的 Cookies（譯者注：例如 Laravel）。

「使用加密技術(shù)」并不能神奇地使某些東西更加安全，它必須服務(wù)于特定目的，并且是針對該目的的有效解決方案。錯誤地使用加密反而可能會降低安全性。

另一個我聽過很多次的對于「更加安全」的論述是「JWT 不使用 Cookies 傳輸 Tokens」。這實在是太荒謬了，Cookie 只不過是一條 HTTP 頭信息，使用 Cookies 并不會造成任何不安全。事實上，Cookies 受到特別良好的保護，用于防止惡意的客戶端代碼。

如果擔心有人攔截掉你的 Session cookies，那你應(yīng)當考慮使用 TLS。如果不使用 TLS，任何類型的 Session 機制都可能被攔截，包括 JWT。

內(nèi)置過期時間功能？

無意義，又沒什么卵用的特性。在服務(wù)端也能實現(xiàn)過期控制，有不少 Session 實現(xiàn)就是這么做的。實際上，服務(wù)端的過期控制更加合理，這樣你的應(yīng)用就可以清除不再需要的 Session 數(shù)據(jù)；若使用無狀態(tài) JWT Tokens 且依賴于它的過期機制，則無法執(zhí)行此操作。

這個過期時間在某些場景實際上是增加了復(fù)雜度的。

無需詢問用戶「本網(wǎng)站使用 Cookies」？

完全錯誤。并沒有什么「Cookies 法律」—— 有關(guān) Cookies 的各種法律實際上涵蓋了任何類型「對某項服務(wù)的正常運行非嚴格必須的持久性 ID」，任何你能想到的 Session 機制都包括在內(nèi)。

?

譯者注：然鵝中國并沒有。

?

簡單來說：

• 若出于系統(tǒng)功能目的使用 Session 或 Token（例如：保持用戶的登錄態(tài)），那么無論怎樣存儲 Session 均無需征得用戶同意。
• 若出于其他目的使用 Session 或 Token（例如：數(shù)據(jù)分析、追蹤），那么無論怎樣存儲 Session 都需要詢問用戶是否允許。

防止 CSRF 攻擊？

這個真真的沒有。存儲 JWT Tokens 的方式大概有兩種：

• 「存入 Cookie」 ：仍然易受 CSRF 攻擊，還是需要進行特殊處理，保護其不受攻擊。
• 「其他地方，例如 Local Storage」 ：雖然不易受到 CSRF 攻擊，但你的網(wǎng)站需要 JavaScript 才能正常訪問；并且又引發(fā)了另一個完全不同，或許更加嚴重的漏洞。我將在后文詳細說明。

預(yù)防 CSRF 攻擊唯一的正確方法，就是使用 CSRF Tokens。Session 機制與此無關(guān)。

更適用于移動端？

毫無根據(jù)。目前所有可用的瀏覽器幾乎都支持 Cookies，因此也支持 Session。同樣，主流的移動端開發(fā)框架以及嚴謹?shù)?HTTP 客戶端庫都是如此。這根本不是個問題。

適用于阻止 Cookies 的用戶？

不太可能。用戶通常會阻止任何意義上的持久化數(shù)據(jù)，而不是只禁止 Cookies。例如，Local Storage 以及任何能夠持久化 Session 的存儲機制（無論是否使用 JWT）。不管你出于多么簡單的目的使用 JWT 都無濟于事，這是另一個完全獨立的問題了。另外，試圖讓身份認證過程在沒有 Cookies 的情況下正常進行，基本沒戲。

最重要的是，禁用掉所有 Cookies 的多數(shù)用戶都明白這會導(dǎo)致身份認證無法使用，他們會單獨解鎖那些他們比較關(guān)心的站點。這并不是你 —— 一個 Web 開發(fā)者應(yīng)當解決的問題。更好的方案是，向你的用戶們詳細地解釋為何你的網(wǎng)站需要 Cookies 才能使用。

基于 Spring Cloud Alibaba + Gateway + Nacos + RocketMQ + Vue & Element 實現(xiàn)的后臺管理系統(tǒng) + 用戶小程序，支持 RBAC 動態(tài)權(quán)限、多租戶、數(shù)據(jù)權(quán)限、工作流、三方登錄、支付、短信、商城等功能

• 項目地址：https://github.com/YunaiV/yudao-cloud
• 視頻教程：https://doc.iocoder.cn/video/

JWT 的劣勢

以上，我已經(jīng)對常見的誤解做了說明，以及為什么它們是錯誤的。你或許在想：「這好像也沒什么大不了的，即便 JWT 無法帶來任何好處，但也不會造成什么影響」，那你真是大錯特錯了。

使用 JWT 作為 Session 機制存在很多缺點，其中一部分會造成嚴重的安全問題。

更費空間

JWT Tokens 實際上并不「小」。尤其是使用無狀態(tài) JWT 時，所有的數(shù)據(jù)將會被直接編碼進 Tokens 內(nèi)，很快將會超過 Cookies 或 URL 的長度限制。你可能在想將它們存儲到 Local Storage，然而...

更不安全

若將 JWT Tokens 存儲到 Cookies 內(nèi)，那么安全性與其他 Session 機制無異。但如果你將 JWT 存儲至其它地方，會導(dǎo)致一個新的漏洞，詳見https://blog.prevoty.com/does-jwt-put-your-web-app-at-risk，尤其是「Storing sessions」這一部分。

?

Local Storage，一個 HTML5 內(nèi)很棒的功能，使瀏覽器支持 Key/Value 存儲。所以我們應(yīng)當將 JWT Tokens 存儲到 Local Storage 嗎？考慮到這些 Tokens 可能越來越大，或許會很有用。Cookies 通常在 4k 左右的存儲時比較占優(yōu)勢，對于較大的 Tokens，Cookies 可能無法勝任，而 Local Storage 或許成了明確的解決方案。然而，Local Storage 并沒有提供任何類似 Cookies 的安全措施。LocalStorage 與 Cookies 不同，并不會在每次請求時發(fā)送存儲的數(shù)據(jù)。獲取數(shù)據(jù)的唯一方法是使用 JavaScript，這意味著任何攻擊者注入的 JavaScript 腳本只需通過內(nèi)容安全策略檢查，就能任意訪問或泄露數(shù)據(jù)。不光是這樣，JavaScript 并不在意或追蹤數(shù)據(jù)是否通過 HTTPS 發(fā)送。就 JavaScript 而言，它就只是個數(shù)據(jù)而已，瀏覽器會像操作其它數(shù)據(jù)一樣來處理它。在歷代工程師們經(jīng)歷了各種麻煩之后，終于能夠確保沒有人可以惡意接觸到我們的 Cookies，然而我們卻試圖忽略這些經(jīng)驗。這對我來說似乎是在退步。

?

簡單來說，「使用 Cookies 并不是可選的」 ，無論你是否采用 JWT。

無法單獨銷毀

還有更多安全問題。不像 Sessions 無論何時都可以單獨地在服務(wù)端銷毀。無狀態(tài) JWT Tokens 無法被單獨的銷毀。根據(jù) JWT 的設(shè)計，無論怎樣 Tokens 在過期前將會一直保持有效。舉個例子，這意味著在檢測到攻擊時，你卻不能銷毀攻擊者的 Session。同樣，在用戶修改密碼后，也無法銷毀舊的 Sessions。

對此，我們幾乎無能為力，除非重新構(gòu)建復(fù)雜且有狀態(tài)（Stateful）的基礎(chǔ)設(shè)施來明確地檢測或拒絕特定 Session，否則將無法結(jié)束會話。但這完全違背了使用無狀態(tài) JWT Tokens 的最初目的。

數(shù)據(jù)延遲

與上文的安全問題類似，還有另一個潛在的安全隱患。就像緩存，在無狀態(tài) Tokens 內(nèi)存儲的數(shù)據(jù)最終會「過時」，不再反映數(shù)據(jù)庫內(nèi)最新的數(shù)據(jù)。

這意味著，Tokens 內(nèi)保留的可能是過期的信息，例如：用戶在個人信息頁面修改過的舊 URL。更嚴肅點講，也可能是個具備 admin 權(quán)限的 Token，即使你已經(jīng)廢除了 admin 權(quán)限。因為無法銷毀這些 Tokens，所以面對需要移除的管理員權(quán)限，除非關(guān)閉整個系統(tǒng)，別無他法。

實現(xiàn)庫缺乏生產(chǎn)環(huán)境驗證或壓根不存在

你或許在想，以上的這些問題都是圍繞著「無狀態(tài) JWT」展開的，這種說法大部分情況是對的。然而，使用有狀態(tài) Tokens 與傳統(tǒng)的 Session cookies 基本上是等效的... 但卻缺乏生產(chǎn)環(huán)境的大量驗證。

現(xiàn)存的 Session 實現(xiàn)（例如適用于 Express 的 express-sessionhttps://github.com/expressjs/sessio）已經(jīng)被用于生產(chǎn)環(huán)境很多很多年，它們的安全性也經(jīng)過了大量的改良。倘若使用 JWT 作為 Session cookies 的臨時替代品，你將無法享受到這些好處，并且必須不斷改進自己的實現(xiàn)（在此過程中很容易引入漏洞），或使用第三方的實現(xiàn)，盡管還沒有在真實世界里大量應(yīng)用。

?

譯者注：實際上，Laravel Passport 便是使用類似「有狀態(tài) JWT」的方式來存儲 OAuth Access Token。幸運的是，Passport 已經(jīng)有不少實際應(yīng)用，且不完全依賴于 JWT。

?

結(jié)論

無狀態(tài) JWT Tokens 無法被單獨地銷毀或更新，取決于你如何存儲，可能還會導(dǎo)致長度問題、安全隱患。有狀態(tài) JWT Tokens 在功能方面與 Session cookies 無異，但缺乏生產(chǎn)環(huán)境的驗證、經(jīng)過大量 Review 的實現(xiàn)，以及良好的客戶端支持。

除非，你工作在像 BAT 那樣規(guī)模的公司，否則沒什么使用 JWT 作為 Session 機制的理由。還是直接用 Session 吧。

所以... JWT 適合做什么？

在本文之初，我就提到 JWT 雖然不適合作為 Session 機制，但在其它方面的確有它的用武之地。該主張依舊成立，JWT 特別有效的使用例子通常是作為一次性的授權(quán)令牌。

引用JSON Web Token specification(https://tools.ietf.org/html/rfc7519)：

?

JSON Web Token (JWT) is a compact, URL-safe means of representing claims to be transferred between two parties. [...] enabling the claims to be digitally signed or integrity protected with a Message Authentication Code (MAC) and/or encrypted.

?

在此上下文中，「Claim」可能是一條「命令」，一次性的認證，或是基本上能夠用以下句子描述的任何情況：

?

你好，服務(wù)器 B，服務(wù)器 A 告訴我我可以 < ...Claim... >，這是我的證據(jù)：< ...密鑰... >。

?

舉個例子，你有個文件服務(wù)，用戶必須認證后才能下載文件，但文件本身存儲在一臺完全分離且無狀態(tài)的「下載服務(wù)器」內(nèi)。在這種情況下，你可能想要「應(yīng)用服務(wù)器（服務(wù)器 A）」頒發(fā)一次性的「下載 Tokens」，用戶能夠使用它去「下載服務(wù)器（服務(wù)器 B）」獲取需要的文件。

以這種方式使用 JWT，具備幾個明確的特性：

• Tokens 生命期較短。它們只需在幾分鐘內(nèi)可用，讓客戶端能夠開始下載。
• Tokens 僅單次使用。應(yīng)用服務(wù)器應(yīng)當在每次下載時頒發(fā)新的 Token。所以任何 Token 只用于一次請求就會被拋棄，不存在任何持久化的狀態(tài)。
• 應(yīng)用服務(wù)器依舊使用 Sessions。僅僅下載服務(wù)器使用 Tokens 來授權(quán)每次下載，因為它不需要任何持久化狀態(tài)。

正如以上你所看到的，結(jié)合 Sessions 和 JWT Tokens 有理有據(jù)。它們分別擁有各自的目的，有時候你需要兩者一起使用。只是不要把 JWT 用作 「持久的、長期的」 數(shù)據(jù)就好。

審核編輯 ：李倩