目录
1、When should you use JSON Web Tokens?
4、Why should we use JSON Web Tokens?
0、WHAT IS JWT
JWT(Json Web Token)是一个开源标准RFC,其提出的了一种紧凑且独立的以JSON对象进行安全信息传输的方法,而传输的信息由于是被签名了,所以可被验证以及是可信任的,
JWTs can be signed using a secret (with the HMAC algorithm) or a public/private key pair using RSA or ECDSA.
!!JWT只是被签名了,并没有加密。
尽管可以对JWT进行加密以实现保密性,但还是将重点放在签名上,对token进行签名可以判断token中声明的完整性,加密只是不想让别人看到声明。
1、When should you use JSON Web Tokens?
Authorization:作为JWT使用最广泛的场景,一旦用户登陆成功,接下来发的每个请求都会包括JWT,其中授权的token将允许用户访问路由、服务以及资源,单点登录如今受欢迎的原因就是因为它的小开销以及拥有简单跨域使用的能力
Information Exchange:另一个用途就是进行安全信息传输,因为JWT可以使用公钥/私钥对进行签名,这样可以确保发送者就是他们所声明的人,另外,因为签名是由其header和payload而计算的,所以也可以验证内容是否被篡改/
2、JWT Structure
JWT 由三部分组成,每部分由“. ”分隔开,分别是:
2.1 Header
Header由两部分组成,token的类型即JWT,以及签名的算法比如HMAC SHA256
然后这个JSON将被Base64Url编码以形成JWT第一个部分
2.2 Payload
第二个部分是payload,其中包括了claims,claims是 关于实体[通常是用户]和额外数据的声明,有三类claims:
- Registered claims:这些是一组预定义的声明,不是强制的,但是推荐使用,并提供了一系列有用、可互操作的声明,包括了 iss (issuer), exp (expiration time), sub (subject), aud (audience), and others.【都只有三个字符长,因为JWT是可兼容的】
- Public claims:这是使用JWT的人自定定义的,但是为了避免冲突,它们应该在 IANA JSON Web Token Registry 中定义,或者定义为包含抗冲突命名空间的 URI。
- Private claims:这些自定义声明是为了在同意使用它们的各方之间共享信息而创建的,这些声明既不是注册声明也不是公开声明。
一个例子:
第二个部分同样也会被 Base64Url 进行编码
Note:这部分没有进行加密,所以不要将机密信息放在payload中
2.3 Signature
为了创建Signature部分,需要使用进行编码之后的header、payload以及私钥,然后使用header声明的算法,进行签名。
比如使用HMAC SHA256算法进行签名:
签名主要保证了完整性和身份认证,这个部分也需要使用Base64Url 进行编码
2.4 Putting all together
the output is three Base64-URL strings separated by dots ,因此可以很方便在HTTP和HTML中进行传输,且相比较于XML标准下的SAML而言更具有兼容性。
3、How do JSON Web Tokens work
In authentication, 一旦成功登陆,JWT将被返回,因为JWT是凭证,所以必须非常小心以免出现安全问题,通常,会设有过期时间。
一旦用户想访问受保护的路由和资源,用户代理将会发生JWT,通常是在Authorization header并使用Bearer schema,内容头部大约如下所示:
如果令牌在 Authorization 标头中发送,则跨源资源共享 (CORS) 不会成为问题,因为它不使用 cookie。
下图显示了如何获取 JWT 并将其用于访问 API 或资源:
- The application or client requests authorization to the authorization server. This is performed through one of the different authorization flows.
- When the authorization is granted, the authorization server returns an access token to the application.
- The application uses the access token to access a protected resource (like an API).
Note:使用签名令牌,令牌中包含的所有信息都会暴露给用户或其他方,即使他们无法更改它。 这意味着您不应将秘密信息放入令牌中。
4、Why should we use JSON Web Tokens?
Let's talk about the benefits of JSON Web Tokens (JWT) when compared to Simple Web Tokens (SWT) and Security Assertion Markup Language Tokens (SAML).
1、由于 JSON 没有 XML 冗长,编码时它的大小也更小,这使得 JWT 比 SAML 更紧凑。
2、从安全角度来说,SWT只能使用对称加密的密钥进行签名,然而JWT和SAML可以使用非对称加密进行签名。
3、与签名 JSON 的简单性相比,在不引入模糊安全漏洞的情况下使用 XML 数字签名签署 XML 是非常困难的。
4、各种语言的JSON解析器都很常见,而以XML为基础的 document-to-object mapping比较少
参考文献: