JWT
JWT (Json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON开放标准的一种间接的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT 可以使用HMAC算法或者RSA的公私钥进行签名。
JWT 的最大特点:可以签名。所以可以减少令牌校验的次数。
签名:作用是防止header 和 payload 被篡改。签名是加密的。
JWT 的组成
Header
包含:
token类型 和 加密算法
Payload
存放信息,可以把用户ID等信息放入此种。这里不要包含敏感信息。通常包含:
-
签发者
-
过期时间
-
面向的用户
-
接收方
-
签发时间
Signature
Signature 需要使用编码后的 header 和 payload 以及我们提供的一个秘钥,通过 header 中的指定签名算法进行签名。其作用是用来保证 JWT 没有被篡改。
最后⼀步签名的过程,实际上是对头部以及负载内容进⾏签名,防⽌内容被窜改。如果有⼈对头部以及 负载的内容解码之后进⾏修改,再进⾏编码,最后加上之前的签名组合形成新的JWT的话,那么服务器 端会判断出新的头部和负载形成的签名和JWT附带上的签名是不⼀样的。如果要对新的头部和负载进⾏ 签名,在不知道服务器加密时⽤的密钥的话,得出来的签名也是不⼀样的。
JWT 的使用
传统 token
申请令牌后,携带令牌访问资源服务器,资源服务器访问授权服务校验令牌的合法性,授权服务会返回校验结果,如果校验 成功会返回⽤户信息给资源服务器,资源服务器如果接收到的校验结果通过了,则返回资源给客 户端。
传统授权⽅法的问题是⽤户每次请求资源服务,资源服务都需要携带令牌访问认证服务去校验令牌的合法性,并根 据令牌获取⽤户的相关信息,性能低下。
JWT 认证
利⽤公钥私 钥完成对令牌的加密,如果加密解密成功,则表示令牌合法,如果加密解密失败,则表示令牌⽆效不合法,合法则允许访问资源服务器的资源,解密失败,则不允许访问资源服务器资源。
JWT 使用流程
-
授权中心和资源中心持有私钥和公钥
-
私钥颁发令牌
-
公钥验证令牌