JWT 认证:无状态登录的常见选择
现在很多接口服务都用 JWT(JSON Web Token)做认证。比如你开发一个移动端 App,用户登录后拿到 token,之后每次请求都带上这个 token,服务器解码验证就行,不需要查数据库或者存 session。这种“无状态”的方式特别适合分布式部署,比如用 Nginx 挂多个 Node.js 实例,谁都能处理请求。
const token = jwt.sign({ userId: 123 }, 'your-secret-key', { expiresIn: '2h' });但要注意的是,JWT 一旦签发,在过期前很难主动失效。除非你额外维护一个黑名单,否则用户退出登录后 token 还能用,这就有点尴尬了。
Session + Cookie:传统但稳定
如果你做的系统是浏览器为主的 Web 应用,比如后台管理系统,那 Session 配合 Cookie 依然是很稳妥的方式。用户登录后,服务器在内存或 Redis 里存一份 session 数据,返回一个 sessionId 给浏览器,后续请求自动带上 Cookie,服务端比对即可。
Spring Boot 默认就是这种模式。搭配 Spring Security,几行配置就能实现权限控制。不过如果机器一多,得上 Redis 共享 session,不然负载均衡时可能出问题。
OAuth2 与第三方登录
现在谁家还没个微信登录、GitHub 登录?这类功能基本都靠 OAuth2。比如你在某个小众论坛看到“用 GitHub 账号登录”,点一下跳转到 GitHub 授权页,同意后回调回来拿到 access_token,再拉用户信息。
Django REST framework + django-allauth、Node.js 的 Passport.js 都支持这类流程。虽然初期配置麻烦点,但跑通一次后面复制就行。
Token 黑名单机制:补上 JWT 的短板
有些项目既要 JWT 的轻便,又希望支持“退出登录即失效”。这时候可以在 Redis 里加一层黑名单。用户登出时把当前 token 加进去,设置和过期时间一致的 TTL。每次请求先检查是否在黑名单中。
if (redis.exists('blacklist:' + token)) {
return res.status(401).json({ msg: 'Token 已失效' });
}这招在实际项目中挺实用,尤其是金融类或高安全要求的系统。
API Key:机器间通信更方便
如果是内部微服务之间调用,或者给合作方提供数据接口,用 API Key 更合适。比如你给客户开了个数据导出权限,生成一个 key 让他们定期请求。这种方式简单直接,不用走完整登录流程。
Gin、Echo 这些 Go 框架里,中间件校验 API Key 几行代码就搞定。关键是要把 key 存加密,别明文写在数据库里。
根据场景选才靠谱
没有哪种认证方式通吃所有情况。做小程序用 JWT 方便;企业后台管理用 Session 稳当;对接外部平台绕不开 OAuth2;机器交互优先考虑 API Key。关键是搞清楚自己要解决什么问题,再挑合适的轮子,别为了“高大上”硬套复杂方案。