一、什么是JWT
1、Json web token (JWT), 是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作为JSON对象传输。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。
2、通俗的解释:
JWT简称Json Web Token,也就是通过Json形式作为web应用中的令牌,用于在各方之间安全地将信息作为Json对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。
二、JWT能做什么
-
授权:这是使用JWT的最常见方案。用户登录后,每个后续请求都将包含JWT,从而允许用户访问该令牌允许的路由,服务和资源。单一登录是当今广泛使用JWT的一项功能,因为它的开销很小并且可以在不同的域中轻松使用。
-
信息交换:JSON Web Token是在各方之间安全地传输信息的一种方法。因为可以对JWT进行签名(例如,使用公钥/私钥对),所以您可以确定发件人是他们所说的人。此外,由于签名是使用标头和有效负载计算的,因此您还可以验证内容是否遭到篡改。
三、为什么选择JWT
1、传统的session认证
我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用(服务器)提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。
但是这种基于session的认证使应用本身很难得到扩展,随着不同客户端用户的增加,独立的服务器已无法承载更多的用户,而这时候基于session认证应用的问题就会暴露出来.
2、认证流程
3、基于session认证所显露的问题
Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。
扩展性: 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。
CSRF: 因为是基于cookie来进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。
前后端分离系统更加不适用:如下图
也就是说前后端分离在应用解耦后增加部署的复杂性。通常用户一次请求就要转发多次。如果使用session每次携带sessionid到服务器,服务器还要查询用户信息,同时如果用户较多,这些信息存储在服务器内存中 ,给服务器增加负担。还有就是CSRF(跨站伪造请求攻击)攻击,session是基于cookie进行用户识别的,cookie如果被截获,用户就会很容易受到跨站伪造的攻击。还有就是sessionid就是一个特征值,表达的信息不够丰富。不容易扩展。而且如果后端应用是多节点部署。那么就需要实现session共享机制,不方便集群应用。
4、基于JWT认证
1)认证流程
- 首先前端通过web表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。
- 后端核对用户名和密码成功后,将用户的id等其它信息作为JWT Payload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT(Token)。形成的JWT就是一个形同xxx.yyy.zzz的字符串。token:head.poayload.signature
- 后端将JWT字符串作为登录成功的返回结果返回给前端。前端可以将返回的结果存在localStorage或者sessionStorage中,退出登录时前端删除保存的JWT即可。
- 前端在每次请求是将JWT放在HTTP Header中的Authorization位。(可以解决XSS和XSRF问题)
- 后端检查是否存在,如存在验证JWT的有效性。例如:检查签名是否正确;检查Token是否过期;检查Token接收方是否是自己(可选)
- 验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作,返回相应结果。
2)jwt优势
- 简洁(compact):可以通过URL,POST参数或者在HTTP header发送,因为数据量小。传输速度也很快
- 自包含(Self-contained):负载中包含了用户所需要的信息,避免了多次查询数据库。
- 因为Token是以Json加密的形式保存在客户端的,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用。
- 它不需要在服务端保存会话信息, 所以它适用于分布式微服务。
四、JWT的结构
1、Token组成
1)标头(Header)
2)有效载荷(Payload)
3)签名(signature)
因此,JWT通常如下所示:xxx.yyy.zzz Header.Payload.Signature
2、Header
- 标头通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法,例如HMAC、SHA256或RSA。它会使用Base64编码组成JWT结构的第一部分。注:Base64是一种编码,也就是说它是可以被解码变回原来样子来的。它跟加密是不一样的
{
'typ': 'JWT',
'alg': 'HS256'
}
typ->type
alg->algorithm
然后将头部进行base64编码,构成了第一部分.
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
3、Payload
载荷就是存放有效信息的地方,其中包含声明。声明是有关实体(通常是用户)和其他数据的声明,这些有效信息包含三个部分
- 标准中注册的声明
- 公共的声明
- 私有的声明
1)标准中注册的声明 (建议但不强制使用) :
- iss: jwt签发者
- sub: jwt所面向的用户
- aud: 接收jwt的一方
- exp: jwt的过期时间,这个过期时间必须要大于签发时间
- nbf: 定义在什么时间之前,该jwt都是不可用的.
- iat: jwt的签发时间
- jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
2)公共的声明 :
公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.
3)私有的声明 :
私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。
定义一个payload:
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
然后将其进行base64编码,得到Jwt的第二部分。
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9
4、Signature
jwt的第三部分是一个签证信息,这个签证信息由三部分组成:
- header (base64后的)
- payload (base64后的)
- secret
这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。
String encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);
String signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
将这三部分用.连接成一个完整的字符串,构成了最终的jwt:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。
706
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
