什么是JWT
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
JWT组成
下面是一个JWT示例,JWT由三部分组成。包括头部、载荷与签名。中间用.分割。
eyJhbGciOiJIUzUxMiJ9.eyJyYW5kb21LZXkiOiJmbDE3YzIiLCJzdWIiOiJhZG1pbiIsImV4cCI6MTU0NTQ1MTM2NCwiaWF0IjoxNTQ0ODQ2NTY0fQ.yY4rXD3axB5tacyqgST8v9JQz5Ut_7-QN4n8LrpGwYnpcrL5X6zGAI--wlG25dmk-TUWxRkLsI5NyWIJzyGSIQ
以上是进行一序列操作后对应的字符,其原始状态应该是如下的(上面的字符串不是和下面字符串对应的, 这里只演示原理):
// Header
{
"alg": "HS256",
"typ": "JWT"
}
// Payload
{
// reserved claims
"iss": "a.com",
"exp": "1d",
// public claims
"http://a.com": true,
// private claims
"company": "A",
"awesome": true
}
// $Signature
HS256(Base64(Header) + "." + Base64(Payload), secretKey)
// JWT
JWT = Base64(Header) + "." + Base64(Payload) + "." + $Signature
header
header其实就是对header的json使用base64进行摘要之后形成的,可以反推出header中内容的。因为header中的内容其实并没有加密。因此header中不要包含敏感信息
payload
payload也会一样的,使用base64进行摘要,一样是不安全的。
Signature
这个使用了header中声明的算法和服务器持有的密钥进行加密,这部分的内容是不可以解密的,
一些想法,不知道是不是对的。
在服务端不和客户端共享密钥的情况下。JWT其实只能作为一种凭证,告诉客户端有进行某个操作的权限,这种凭证只有一次使用时才是安全。
或者说JWT不能泄漏,泄漏了就可以伪装这个JWT所拥有的权限。
只有服务端和客户端同时持有在signature中加密使用的密钥才是安全。服务端通过对header和payload通过相同的算法生成signature,然后比对和服务器生产的signature是否一致来判断客户端是否持有密钥。在这种对称加密中密钥的安全就非常重要了。