JWTToken介绍
如题,先上一个token
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJOYW1lIjoi6buE6I2v5biIIiwiRW1wbG95ZWVJRCI6MSwiZXhwIjoxNjI2MTU5ODM5LjB9.h_4jRq621FbsZMRx1lXaM_gqVPMHL_9qO8k-NMDTUho
JWT:Json Web Token ,是由三段信息构成的,将这三段信息用 . 相连在一起就构成了JWT字符串
http协议无状态的,所以需要sessionId或token的鉴权机制,jwt的token认证机制不需要在服务端再保留用户的认证信息或会话信息。这就意味着基于jwt认证机制的应用程序不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利,jwt更适用于分布式应用。
JWTToken的鉴权机制
token认证流程上是这样的:
- 用户使用用户名密码来请求服务器进行验证
- 服务器通过验证,发送给用户一个token(该jwt 不需要在服务器保存一份)
- 客户端存储token且在每次请求时附送上这个token值
- 服务端验证token值,并返回业务数据
这个token必须要在每次请求时传递给服务端,它应该保存在请求头里, 另外,服务端要支持CORS(跨来源资源共享)策略, 一般我们在服务端这么做就可以了Access-Control-Allow-Origin: *
一般是手动在请求头里加入参数 ‘Authorization’,并加上 ”Bearer ” 标注(非必须):
Authorization:Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJOYW1lIjoi6buE6I2v5biIIiwiRW1wbG95ZWVJRCI6MSwiZXhwIjoxNjI2MTU5ODM5LjB9.h_4jRq621FbsZMRx1lXaM_gqVPMHL_9qO8k-NMDTUho
也可以放到cookie,localstorage中,让浏览器发送请求时自动携带。
JWT的构成
一个JWT实际上就是一个字符串,它由三部分组成:header头部、playload载荷、sign签名。
头部
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。表示成一个JSON对象,经base64编码形成第一部分。
例如:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 头部 base64在线解码如下
{"typ":"JWT","alg":"HS256"}
载荷
其实就是自定义的数据,一般存储用户Id,用户名、过期时间等信息。也就是JWT的核心所在,因为这些数据就是使后端知道此token是哪个用户已经登录的凭证。而且这些数据是存在token里面的,由前端携带,所以后端几乎不需要保存任何数据。
例如:
eyJOYW1lIjoi6buE6I2v5biIIiwiRW1wbG95ZWVJRCI6MSwiZXhwIjoxNjI2MTU5ODM5LjB9 载荷部分base64在线解码如下:
{"Name":"黄药师","EmployeeID":1,"exp":1626159839.0}
exp是时间戳,存的是过期时间,时间戳转换成北京时间后如下
"exp":1626159839.0 => 2021-07-13 15:03:59
签名
1.头部和载荷各自由base64加密后用 . 连接起来,然后就形成了xxx.yyy的前两段token。
2.最后一段token的形成:前两段字符串xxx.yyy 加入一个密钥用sha256算法或者其他算法加密形成不可逆的密文sign。
哈希算法生成的sign:h_4jRq621FbsZMRx1lXaM_gqVPMHL_9qO8k-NMDTUho
注意:secret密钥是保存在服务器端的,jwt的签发生成也是在服务器端的,secret密钥就是用来进行jwt的签发和jwt的验证。
所以,secret密钥就是你服务端的私钥,在任何场景都不应该泄露出去。一旦非法客户端得知这个secret密钥, 那就意味着非法客户端可以自我签发jwt了。
总结
- 因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用
- 因为有了payload部分,所以JWT可以存储一些其他业务逻辑所需要的非敏感信息,敏感信息还是不建议存放到jwt中
- 便于传输,jwt的构成非常简单,字节占用很小,所以它是非常便于传输的
- 它不需要在服务端保存会话信息, 所以它易于应用的扩展
- 服务器保护好secret私钥,该私钥很重要,不能泄露
- 如果可以,请使用https协议
本文参考链接https://www.cnblogs.com/crowbrother/p/14813754.html
仅供学习参考,如有侵权联系我删除