spring security +jwt 优势

Spring Security 是一个流行的安全性框架，能够为应用程序提供身份验证和授权方案。使用 Spring Security，我们可以轻松地集成标准的安全功能，例如用户、角色和权限管理，以保护应用程序免遭攻击和非法访问。然而，传统的 Spring Security 方案通常需要使用服务器端存储和处理用户的认证信息，这给开发者带来了一些不便，例如需要管理会话和 cookie 等等。

JWT（JSON Web Token），是一种轻量的、可移植的认证与授权方式，成为最新的行业标准之一。它基于 JSON 格式并加密，可以传输在 HTTP Header 中。它比传统的 Cookie 身份验证机制更安全，因为其不需要 session 必须要在同一台服务器上共享，从而不易成为 CSRF 攻击的目标。与传统的会话模式不同，JWT 方案不会在服务端保留任何关于用户会话的信息，所有的信息都是使用非对称加密方式存储在客户端，从而方便地允许不同的后端实现和服务端以及客户端的互操作。

Spring Security 与 JWT 方案结合起来，可以获得以下优势：

1. 无需服务器端保存 Token：JWT 是一种基于标准算法的 Token，所以无需在服务器上进行存储、验证或者回收。

2. 跨域方案友好：JWT 通常被允许通过 CORS 方式实现跨域访问，并且不需要使用 Cookie 或其他标准的 HTTP 表头信息。

3. 分布式系统兼容性：JWT 方案允许多种服务端进行实现，并且兼容于不同的客户端。

4. 多平台支持：不论你使用的框架或语言，只要支持生成和校验 JWT，就能兼容 Spring Security。

总之，Spring Security 和 JWT 的结合，可以让我们轻松地实现一个安全可靠的认证与授权方案，大大减轻了后端服务器的运算和存储压力，还能够有效防范 CSRF 攻击。