什么是JWT
JSON 网络令牌(JWT)是一项开放标准,它定义了一种紧凑、自足的方式,可在各方之间以 JSON 对象的形式安全地传输信息。由于该信息经过数字签名,因此可以验证和信任。JWT 可以使用密文(HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。虽然 JWT 也可以加密,以在各方之间提供保密性,但我们将重点讨论签名令牌。已签名的令牌可以验证其中所含声明的完整性,而加密令牌则可以向其他方隐藏这些声明。使用公钥/私钥对令牌进行签名时,签名也证明只有持有私钥的一方才是签名方。
何时使用JWT
下面是一些有用的 JWT的应用场景:
- 授权: 这是使用 JWT 的最常见场景。用户登录后,每个后续请求都将包含 JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是目前广泛使用 JWT 的一项功能,因为它的开销很小,而且能在不同域间轻松使用。
- 信息交换: JWT是在各方之间安全传输信息的好方法。由于 JWT 可以签名(例如,使用公钥/私钥对),因此可以确保发送者的真实身份。此外,由于签名是使用标头和有效载荷计算的,因此还可以验证内容是否被篡改。
JWT的结构
JWT包含三部分,各部分之间通过点(.)隔开
- 头(Header)
- 负载(Payload)
- 签名(Signature)
如下所示:
xxxxxx.yyyyyy.zzzzz
Header
标头通常由两部分组成:令牌类型(JWT)和使用的签名算法(如 HMAC SHA256 或 RSA)。
{
"alg": "HS256",
"typ": "JWT"
}
这部分 JSON 经 Base64Url 编码后构成 JWT 的第一部分。
Payload
令牌的第二部分是有效载荷,其中包含请求。声明要求是关于实体(通常是用户)和附加数据的声明。有三种类型的声明:注册声明、公共声明和私有声明。
- 登记声明: 这些是一组预定义的声明要求,不是强制性的,而是建议性的,目的是提供一组有用的、可互操作的声明要求。其中包括:iss(发布者)、exp(过期时间)、sub(主题)、aud(受众)等。
- 公开声明: 使用 JWT 的用户可以随意定义。
- 私人声明: 这些是为在同意使用的各方之间共享信息而创建的自定义声明要求,既不是注册声明要求,也不是公开声明要求。
有效载荷示例
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
然后对有效负载进行 Base64Url 编码,形成 JSON 网络令牌的第二部分。
签名
要创建签名部分,您必须使用编码后的报文头、编码后的有效载荷、密文、报文头中指定的算法,然后对其进行签名。
例如,如果要使用 HMAC SHA256 算法,签名将按以下方式创建:
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
签名用于验证信息在传输过程中是否被更改,如果是用私钥签名的令牌,签名还可以验证 JWT 的发送者是否如其所言。
把所有东西放在一起
输出结果是三个 Base64-URL 字符串,中间用点隔开,可在 HTML 和 HTTP 环境中轻松传递,与基于 XML 的标准(如 SAML)相比更加紧凑。
下面显示的 JWT 已对前面的报头和有效载荷进行了编码,并用密文进行了签名。
如果您想使用 JWT 并将这些概念付诸实践,可以使用 jwt.io Debugger 来解码、验证和生成 JWT。
JWT如何工作?
在身份验证中,当用户使用凭据成功登录时,将返回一个 JWT令牌。由于令牌是凭证,因此必须非常小心以防止出现安全问题。一般来说,保存令牌的时间不应超过所需的时间。
每当用户要访问受保护的路由或资源时,用户代理都应发送 JWT,通常是在使用Bearer模式的授权(Authorization)标头中发送。头的内容应如下所示:
Authorization: Bearer <token>
在某些情况下,这可以是一种无状态授权机制。服务器的受保护路由会检查授权头中是否存在有效的 JWT,如果存在,用户就可以访问受保护的资源。如果 JWT 包含必要的数据,就可以减少某些操作对数据库的查询需求。
请注意,如果通过 HTTP 标头发送 JWT 标记,应尽量避免其过大。有些服务器不接受超过 8 KB 的header。如果你想在 JWT 标记中嵌入过多信息,比如包含用户的所有权限,那么你可能需要其他的替代解决方案。
如果在授权(Authorization) header中发送令牌,跨源资源共享(CORS)就不会有问题,因为它不使用 cookie。
请注意,对于已签名的令牌,令牌中包含的所有信息都会暴露给用户或其他方,尽管他们无法更改这些信息。这意味着您不应该在令牌中包含秘密信息。