JWT
Json web token (JWT), 是为了在⽹络应⽤环境间传递声明⽽执⾏的⼀种基于JSON的开放标准((RFC 7519).定义了⼀种简洁的,⾃包含的⽅法⽤于通信双⽅之间以JSON对象的形式安全的传递信息。因为数 字签名的存在,这些信息是可信的,JWT可以使⽤HMAC算法或者是RSA的公私秘钥对进⾏签名。
JWT组成
Header头部
头部包含了两部分,token 类型和采⽤的加密算法
Payload负载
这部分就是我们存放信息的地⽅了,你可以把⽤户 ID 等信息放在这⾥,JWT 规范⾥⾯对这部分有 进⾏了⽐较详细的介绍,常⽤的由 iss(签发者),exp(过期时间),sub(⾯向的⽤户),aud(接 收⽅),iat(签发时间)。
Signature签名
前⾯两部分都是使⽤ Base64 进⾏编码的,即前端可以解开知道⾥⾯的信息。Signature 需要使⽤编码 后的 header 和 payload 以及我们提供的⼀个密钥,然后使⽤ header 中指定的签名算法(HS256)进 ⾏签名。签名的作⽤是保证 JWT 没有被篡改过。
签名的⽬的
最后⼀步签名的过程,实际上是对头部以及负载内容进⾏签名,防⽌内容被窜改。如果有⼈对头部以及 负载的内容解码之后进⾏修改,再进⾏编码,最后加上之前的签名组合形成新的JWT的话,那么服务器 端会判断出新的头部和负载形成的签名和JWT附带上的签名是不⼀样的。如果要对新的头部和负载进⾏ 签名,在不知道服务器加密时⽤的密钥的话,得出来的签名也是不⼀样的。
为什么使⽤JWT
JWT认证
传统的授权模式性能低下,每次都需要请求授权服务校验令牌合法性,我们可以利⽤公钥私 钥完成对令牌的加密,如果加密解密成功,则表示令牌合法,如果加密解密失败,则表示令牌⽆ 效不合法,合法则允许访问资源服务器的资源,解密失败,则不允许访问资源服务器资源。
JWT使⽤
- 授权中⼼和资源中⼼持有私钥和公钥
- 私钥颁发令牌
- 公钥验证令牌
⽣成私钥公钥 - ⽣成密钥证书 下边命令⽣成密钥证书,采⽤RSA 算法每个证书包含公钥和私钥
- 查询证书信息
- 删除别名
- 导出公钥
用户角色管理
RBAC模型
系统管理⼯程完成了对于rbac数据的管理
RBAC(基于⻆⾊的权限控制 role base access control)是⼀种设计模式,是⽤来设计和管 理权限相关数据的⼀种模型