shiro和jwt區(qū)別？不是一回事shiro是一套權(quán)限管理框架，包括認(rèn)證、授權(quán)等，在使用時(shí)直接寫(xiě)相應(yīng)的接口就可以了，已經(jīng)把底層處理都寫(xiě)好了而jwt只是一種生成token的機(jī)制，所有權(quán)限處理邏輯還需要自

shiro和jwt區(qū)別？

不是一回事shiro是一套權(quán)限管理框架，包括認(rèn)證、授權(quán)等，在使用時(shí)直接寫(xiě)相應(yīng)的接口就可以了，已經(jīng)把底層處理都寫(xiě)好了而jwt只是一種生成token的機(jī)制，所有權(quán)限處理邏輯還需要自己寫(xiě)

oauth2與jwt的區(qū)別？

oauth2有client和scope的概念，jwt沒(méi)有。如果只是拿來(lái)用于頒布token的話(huà)，二者沒(méi)區(qū)別。常用的bearer算法oauth、jwt都可以用。應(yīng)用場(chǎng)景不同而已

Jwt的token如何像session一樣去延長(zhǎng)時(shí)間？

隨著技術(shù)的發(fā)展，分布式Web應(yīng)用的普及，通過(guò)session管理用戶(hù)登錄狀態(tài)成本越來(lái)越高，因此慢慢發(fā)展成為token的方式做登錄身份校驗(yàn)，然后通過(guò)token去取Redis中的緩存的用戶(hù)信息，隨著之后JWT的出現(xiàn)，校驗(yàn)方式更加簡(jiǎn)單便捷化，無(wú)需通過(guò)Redis緩存，而是直接根據(jù)token取出保存的用戶(hù)信息，以及對(duì)token可用性校驗(yàn)，單點(diǎn)登錄更為簡(jiǎn)單。

JWT中一般包含兩個(gè)token：access token和refresh token。當(dāng)用戶(hù)通過(guò)登錄等方式驗(yàn)證身份成功后，服務(wù)器會(huì)生成一個(gè)access token和一個(gè)refresh token，并返回到前端進(jìn)行儲(chǔ)存。兩個(gè)token都會(huì)在服務(wù)器設(shè)置過(guò)期時(shí)間，但access token的過(guò)期時(shí)間較短，而refresh token則較長(zhǎng)。當(dāng)前端向服務(wù)器發(fā)送請(qǐng)求時(shí)，access token隨著請(qǐng)求一起發(fā)送到服務(wù)器，用于驗(yàn)證請(qǐng)求者的身份。當(dāng)服務(wù)器發(fā)現(xiàn)access token已經(jīng)過(guò)期后，就會(huì)返回失敗信息。此時(shí)前端需要使用refresh token向服務(wù)器申請(qǐng)新的access token。如果refresh token沒(méi)有問(wèn)題，服務(wù)器就會(huì)生成新的access token返回。而如果refresh token也過(guò)期了，就需要再次向用戶(hù)要求登錄驗(yàn)證身份了。

總而言之，JWT延長(zhǎng)時(shí)間是通過(guò)利用過(guò)期時(shí)間較長(zhǎng)的refresh token重新申請(qǐng)新的access token實(shí)現(xiàn)的，而當(dāng)refresh token也過(guò)期時(shí)，延長(zhǎng)時(shí)間就不可能了。