Весенняя сессия и куки все еще актуальны, так как есть весенняя безопасность и JWT

Question

Я запустил проект весенней загрузки несколько месяцев назад и использовал сеанс Spring JDBC с файлами cookie. приложение связано с оплатой. Чтобы получить пользователя в сеансе, я получил cookie из HTTPRequestservelet и передал идентификатор в нем сеансу JDBC, чтобы получить пользователя в сеансе. Теперь я прочитал о Spring Security и JWT, и кажется, что он делает то же самое, но в более защищенном, стандартизированном виде, плюс Spring Security поставляется с Bcrypt, поэтому мой вопрос сейчас, так как я планирую изменить JWT и Spring Security мой сеанс JDBC и cookie все еще актуальны?

Answer 1

Cookie - это небольшой фрагмент информации, который отправляется с сервера на сервер в запросе и ответе для поддержки информации, относящейся к сеансу. Вы всегда можете игнорировать файлы cookie (не только при использовании JWT), если вы можете создать механизм, с помощью которого вы можете хранить и получать информацию, относящуюся к сеансу.

JWT используются для отправки и получения информации об аутентификации и авторизации, а также NOT информации о сеансе, т. Е. Вы не можете изменить JWT, когда, скажем, пользователь добавляет товар в свою корзину.

Итак, вы можете использовать куки (или любой другой механизм) в дополнение к JWT для отслеживания информации о сеансе.

Редактировать: Я недавно обнаружил, что отправка JWT в cookie-файлах - одна из известных лучших практик. Итак, теперь у вас есть лучшее из обоих миров.