JWT的原理与解析
简介
Json web token (JWT)一串用Base64编码的json字符串,放在请求头(Header)中一串数据。一般用于单点登录。
组成
三部分:第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 放一些我们要访问的信息),第三部分是签证(signature).
格式:header.payload.signature
- header
jwt的头部承载两部分信息:一般默认即可
- 声明加密的算法(singnature处用到) 通常直接使用 HMAC SHA256
- 声明类型,这里是jwt
{
"alg": "HS256",
"typ": "JWT"
}
-
payload
用来放一些有效信息,如用户名,等
{ "sub": "1234567890", "name": "John Doe", "iat": 1516239022 }
不要将敏感信息放入,尤其是密码 ,因为Base64不是保密的,是一个公开的算法,有人一旦截取了你的请求就可以得到你的信息
-
signature
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload)+ your-256-bit-secret )
Base64编码后的header和payload在加上一串密钥(一串字符串),如上面的格式,然后用HS256(看自己选择,官方推荐用这个)算法加密后在一Base64形式加密
- HS256是一种hash散列算法,不可逆,所以即使被截取到了token也无法获取有效信息
生成和检验原理
- 我们第一次登录,把账号密码发到服务器去验证。
- 随后服务器就会返回一个token给我们,此时jwt就会保存在我们本地
- 以后每次登录我们的请求头就会附带这个token
- 服务器校验,将获取到的token中Base64加密后的header拿出来,反向解码,得到里面的算法类型,然后用该算法将Base64加密后的header和payload加上服务器本地的密钥三部分组成的字符串编码,然后与收到的token第三部分比较,如果相同就通过,不相同就是该token无效
只要第三方不知道密钥是什么,他即使改了header和payload他也无法将signature改对,毕竟少了一串字符串怎么肯能使得用hash散列算法得到结果一样。