1、什么是JWT
JWT,全称json Web Token,是json风格轻量级的授权和身份认证规范,可实现无状态,分布的Web应用授权
官网:https://jwt.io
GItHub上jwt的java客户端:https://github.com/jwtk/jjwt
2、JWT起源
JWT是基于token的认证和传统的session认证的区别
3、JWT长什么样
JWT由三段信息构成,将这三段信息文本用.链接一起就构成了Jwt字符串
例生成的数据格式
4、JWT数据格式(JWT包含三部分数据)
Header 头部,通常头部有两部分数据
①:声明类型,这里是JWT
②:签名算法,自定义
我们会对头部进行base64加密(可解密),得到第一部分数据
playoad 载荷,就是有效数据,一般包含下面信息
①:用户身份信息(注意,这里以为采用bease64加密,可解密,因此不要存放敏感信息)
②:tokenID:当前这个JWT的唯一标识
③:注册声明,例如token的签发时间,过期时间,签发人等
这部分也会采用base64加密,得到第二部分数据
Signature 签名,是整个数据的认证信息。一般根据前两步的数据,再加上服务的密钥(secret)(不要泄露,最好周期性更换),通过加密算法生成。用于验证整个数据的完整和可靠性
5、JWT交互数据
5.1:流程图
5.1.2:授权流程
①:用户请求登录,携带用户名和密码到授权中心
②:授权中心携带用户名 密码,到用户中心查询用户
③:查询如果正确,生成JWT凭证
④:返回JWT给用户
5.1.3:鉴权流程
①:用户请求某微服务功能,携带JWT
②:微服务将JWT交给授权中心校验
③:授权中心返回校验结果到微服务
④:微服务判断校验结果,成功或失败
⑤:失败则直接返回401
⑥:成功则处理业务并返回
5.1.4:流程图总结
因为JWT签发的token中已经包含了用户的身份信息,并且每次请求都会携带,这样服务的就无需保存用户信息,甚至无需去数据库查询,完全符合了Rest的无状态规范
5.1.5:能不能直接在微服务的完成鉴权,不去找授权中心呢?
如果这样,就可以减少一次网络请求,效率提高了一倍。
但是微服务并没有鉴定JWT的能力,因为鉴定需要通过密钥来完成。我们不能把密钥交给其他微服务,存在安全风险这时候需要用到RSA非对称加密技术
5.2:非对称加密技术
5.2.1:使用非对称加密签名和延签
①:生成RSA密钥对,私钥存放在授权中心,公钥下发给微服务
②:在授权中心利用私钥对JWT签名
③:在微服务利用公钥验证签名有效性
因为非对称加密的特性,不用担心公钥泄露问题,因为公钥是无法伪造签名的,但要确保私钥的安全和隐秘
5.2.2:非对称加密后的授权和鉴权流程
授权流程
用户只需要与微服务交互,不用访问授权中心,效率大大提高
2558
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
