JWT Auth vs Session Auth для API

Question

Я разрабатываю API, который требует некоторых функций аутентификации.

Обычно я использую метод session: Пользовательские сообщения для входа в API и я возвращаю идентификатор сеанса. Затем, для всех остальных вызовов API, пользователю необходимо прикрепить этот идентификатор сеанса.

Мой руководитель предлагает использовать JWT для такого рода работ. Но я не могу найти каких-либо замечательных преимуществ использования JWT над вышеупомянутым методом сеанса. Там даже огромный con в случае, если я хочу поддерживать какие-то «данные сеанса» при использовании JWT.

Есть ли у вас какие-либо идеи о преимуществах использования JWT в этом случае? Должен ли я переносить старый код в JWT?

Answer 1

В конце концов я наткнулся на эту статью, какой вид охватывает всю тему, и, таким образом, отвечает на вопрос:

http://cryto.net/~joepie91/blog/2016/06/13/stop-using-jwt-for-sessions/

Stateless JWT маркеры не могут быть признаны недействительными или обновлены, и ввести либо размер проблемы или проблемы безопасности в зависимости от того, где вы находитесь . Яркие точечные символы JWT функционально совпадают с сеансами куки-файлов, но без проверенных и хорошо проверенных версий или поддержки клиентов.

Если вы не работаете с приложением Reddit, нет причин быть с использованием токенов JWT в качестве механизма сеанса. Просто используйте сеансы.