JWT(JSON Web Token)是目前比较流行的一种身份认证解决方式,下面详细的介绍下原理、用法和局限性。
JWT 原理
JWT本质上就是一个字符串,客户端提交账号密码(或其他凭证)到服务器,服务器认证通过以后根据一些规则生成一个字符串并返回给客户端,客户端随后的每次接口请求都将这个字符串传给服务端,服务端拿到这个字符串后经过解析校验,最终获取到用户的身份,服务端是不需要保存这个字符串。
下面是一个常规的 JWT:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.cThIIoDvwdueQB468K5xDc5633seEFoqwxjF_xSJyQQ
可以看出 JWT 是被点`.`分隔成三个部分的字符串。JWT 的三个部分依次如下:
Header(头部)
Payload(负载)
Signature(签名)
基本结构就是`Header.Payload.Signature`。
Header 部分
Header 部分经过解析后是一个 JSON 对象,用来描述 JWT 的元数据,一般结构如下:
{
"alg": "HS256",
"typ": "JWT"
}
alg 属性表示签名的算法(algorithm),默认是 HMAC SHA256;typ属性表示 token 的类型(type)。将 JSON 对象使用 Base64URL 算法转成字符串。
Payload
Payload 部分经过解析后也是一个 JSON 对象,用来存放用户身份相关数据。例如:
{
"sub": "1234567890",
"name": "路多辛",
"admin": true
}
将 JSON 对象使用 Base64URL 算法转成字符串。
Signature
Signature 部分是对前两部分的签名,防止数据被篡改。首先需要指定一个密钥(这个密钥必须要存放在服务器端,不能泄露给客户端),然后使用 Header 里面指定的签名算法(默认是 HMAC SHA256)按照下面的公式计算出签名。
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
计算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串(每个部分之间用点`.`分隔)后返回给客户端。
使用 JWT 需要注意的点
- JWT 的 Payload(载荷)部分是使用 Base64Url 算法进行编码的,而不是加密的。如果 JWT 被截获,是可以被解码的,因此,敏感信息不应该放在 Payload 中。
- JWT 的过期时间通常在 Token 生成时就已经设定好了并且服务器端无法使其提前失效,如果 Token 泄露了,攻击者可以在 Token 过期之前进行操作。
- JWT 本身包含了认证信息,为了保障安全起见,JWT 的有效期应该设置得比较短。
- JWT 通常比其他类似的令牌要大,因为包含了 Header、Payload 和 Signature,会增加一定的网络负载。