什么是JWT
JWT是JSON Web Token的缩写,是一种跨域认证的解决方案。
使用JWT解决什么问题
传统的登录认证的实现,依赖客户端浏览器的cookie和服务器的session,这种实现登录的方式有很大的局限性。
对于部署在单台服务器的应用来说,使用cookie+session登录认证的方案尚且可以接受。
但如果应用程序需要部署到多台服务器上呢?这里面就涉及到session的共享问题,另外,如果不同的域名想实现单点登录功能呢?显示cookie+session同样无法做到。
而要解决上面提出的问题,可以使用JWT,让应用变成无状态,避免session共享问题,而且可以很容易实现服务器的扩展。
JWT的格式
一个正确的JWT格式如下所示:JWT字符串由Header,Payload,Signature三个部分组成,中间使用逗号连接
Header:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
Payload:eyJpZCI6MTAwMDEsInVzZXJuYW1lIjoic2hpIiwiZXhwIjoxNzE1ODI2ODQ2LCJpc3MiOiJzaGkifQ
Signature:C6wT3MQVWVfMIVtOWEKbnY9yL9uWKV0Yi9yJJXrWIXw
完整token:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MTAwMDEsInVzZXJuYW1lIjoic2hpIiwiZXhwIjoxNzE1ODI2ODQ2LCJpc3MiOiJzaGkifQ.C6wT3MQVWVfMIVtOWEKbnY9yL9uWKV0Yi9yJJXrWIXw
Header(头部)
Header是一个JSON对象,由token类型和加密算法两个部分组成的
{
"typ": "JWT",//默认为JWT
"alg": "HS256"//支持多种加密算法
}
将上面的JSON对象使用Base64URL算法转换成字符串,即可得到JWT中的Header部分
Base64 编码是一种将二进制数据编码为 ASCII 字符串的方法。然而,Base64 编码后的字符串中可能包含
+
、/
和=
这三个字符,这些字符在 URL 中有特殊含义:
+
字符在 URL 中用作分隔符。/
字符在 URL 中用于分隔路径。=
字符在 URL 中用作查询参数的赋值符号。为了避免这些字符在 URL 中引起问题,JWT 使用了 Base64 URL 安全编码,它是 Base64 编码的一个变种,做了以下修改:
- 将
+
替换为-
,这在 Base64 URL 编码中是常见的替换字符。- 将
/
替换为_
,这同样是为了 URL 安全。- 移除
=
,这是 Base64 编码中的填充字符,用于确保编码后的字符串长度是 4 的倍数。在 Base64 URL 编码中,这个填充字符被省略,以避免在 URL 中使用。
Payload(有效信息、有效载荷)
JWT的Payload部分与Header一样,也是一个JSON对象,用来存放我们实际需要的数据,JWT标准提供了七个可选的字段,分别为:
除了标准的字段外,我们可以任意定义私有的字段以满足业务需求,如:
{
iss:"my",//标准字段
jti:"test",//标准字段
username:"aaa",//自定义字段
"gender":"男",
"avatar":"https://1.jpg"
}
将上面的JSON对象使用Base64URL算法转换成字符串,即可得到JWT中的Payload部分。
Signature(签证)
Signature是JWT的签名,生成方式为:将Header与Payload进行Base64URL算法编码后,用逗号链接,再使用密钥(secretKey)和Header中指的加密方式进行加密,最终生成Signature。
JWT的特点
-
最好使用HTTPS协议,防止JWT被盗的可能。
-
除了JWT签发时间到期外,没有其他办法让已经生成的JWT失效,除非服务器端换算法。
-
在JWT不加密的情况下,JWT不应该存储敏感的信息,如果要存放敏感信息,最好再次加密。
-
JWT最好设置较短的过期时间,防止被盗用后一直有效,降低损失。
-
JWT的Payload也可以存储一些业务信息,这样可以减少数据库的查询。
JWT的使用
服务器签发JWT后,发送给客户端,客户端如果是浏览器的话,可以将其存放在cookie或localStorage中,如果是APP的话,则可以存放在sqlite数据库中。
然后每一次接口请求时都带上JWT,而带上来给服务端的方式,也有很多种,比如query、cookie、header或者body,总之就是一切可以带上数据给服务器的方式都可以,但比较规范的做还是通过header Authorization上传。
在Go项目中使用JWT
在Go项目中如何生成以及解析JWT,这里我们使用github.com/golang-jwt/jwt
这个库来帮我们生成或解析JWT。
生成
使用NewWithClaims()方法生成Token对象,再通过Token对象的方法来生成JWT字符串
案例一
package main
import (
"github.com/golang-jwt/jwt"
"log"
"time"
)
func main() {
hmacSampleSecret := []byte("123qwe") //密钥,不能泄露
//生成token对象
token := jwt.NewWithClaims(jwt.SigningMethodHS256, jwt.MapClaims{
"foo": "bar",
"nbf": time.Date(2015, 10, 10, 12, 0, 0, 0, time.UTC).Unix(),
})
//生成jwt字符串
jwtString, err := token.SignedString(hmacSampleSecret)
if err != nil {
log.Fatal("签署JWT时出错", err)
}
log.Println("JWT String:", jwtString)
}
案例二
package main
import (
"github.com/golang-jwt/jwt" //也可以"github.com/dgrijalva/jwt-go"
"log"
"time"
)
/*
使用 JWT 库(如 github.com/dgrijalva/jwt-go、github.com/golang-jwt/jwt)可以创建和解析 JWT 令牌。
以下是使用 NewWithClaims 方法生成 JWT Token 对象,并通过该对象的方法生成 JWT 字符串
*/
func main() {
// 定义 Claims
//Claims 是 JWT 承载的有效信息,包括注册声明(如 iss, sub, aud 等)和自定义声明。您需要定义一个 map 或结