各位开发小伙伴有过用户权限开发经验的也许就听过JWT的概念。那么什么是JWT呢,请看下面笔记详情
什么是JWT
JWT(json web token) ,是为了在⽹络应⽤环境间传递声明⽽执⾏的⼀种基于JSON的开放标准((RFC 7519).定义了⼀种简洁的,⾃包含的⽅法⽤于通信双⽅之间以JSON对象的形式安全的传递信息。因为数 字签名的存在,这些信息是可信的,JWT可以使⽤HMAC算法或者是RSA的公私秘钥对进⾏签名。
JWT组成
一共有三部分 Header / Payload / Signature
Header头部头部包含了两部分,token类型和采用的加密算法
{
"alg":"HS256",
"type":"JWT"
}
它会使⽤ Base64 编码组成 JWT 结构的第⼀部分
注:Base64是⼀种编码,也就是说,它是可以被翻译回原来的样⼦来的。它并不是⼀种加密过程。
Payload负载这部分就是我们存放信息的地⽅了,你可以把⽤户 ID 等信息放在这⾥,JWT 规范⾥⾯对这部分有 进⾏了⽐较详细的介绍,常⽤的由 iss(签发者),exp(过期时间),sub(⾯向的⽤户),aud(接 收⽅),iat(签发时间)。
{
"iss": "lion1ou JWT",
"iat": 1441593502,
"exp": 1441594722,
"aud": "www.example.com",
"sub": "xxx@163.com"
}
同样的,它会使⽤ Base64 编码组成 JWT 结构的第⼆部分。
Signature签名前⾯两部分都是使⽤ Base64 进⾏编码的,即前端可以解开知道⾥⾯的信息。Signature 需要使⽤编码 后的 header 和 payload 以及我们提供的⼀个密钥,然后使⽤ header 中指定的签名算法(HS256)进 ⾏签名。签名的作⽤是保证 JWT 没有被篡改过。
三个部分通过 . 连接在⼀起就是我们的 JWT 了,它可能⻓这个样⼦,⻓度貌似和你的加密算法和私钥 有关系。
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9`.`eyJpZCI6IjU3ZmVmMTY0ZTU0YWY2NGZmYz UzZGJkNSIsInhzcmYiOiI0ZWE1YzUwOGE2NTY2ZTc2MjQwNTQzZjhmZWIwNmZkNDU3Nzc3YmUz OTU0OWM0MDE2NDM2YWZkYTY1ZDIzMzBlIiwiaWF0IjoxNDc2NDI3OTMzfQ`.`PA3QjeyZSUh7H 0GfE0vJaKW4LjKJuC3dVLQiY4hii8s
签名的目的
最后⼀步签名的过程,实际上是对头部以及负载内容进⾏签名,防⽌内容被窜改。如果有⼈对头部以及 负载的内容解码之后进⾏修改,再进⾏编码,最后加上之前的签名组合形成新的JWT的话,那么服务器 端会判断出新的头部和负载形成的签名和JWT附带上的签名是不⼀样的。如果要对新的头部和负载进⾏ 签名,在不知道服务器加密时⽤的密钥的话,得出来的签名也是不⼀样的。
为什么使用JWT
传统token认证
资源服务器授权流程如上图,客户端先去授权服务器申请令牌,申请令牌后,携带令牌访问 资源服务器,资源服务器访问授权服务校验令牌的合法性,授权服务会返回校验结果,如果校验 成功会返回⽤户信息给资源服务器,资源服务器如果接收到的校验结果通过了,则返回资源给客 户端。
传统授权⽅法的问题是⽤户每次请求资源服务,资源服务都需要携带令牌访问认证服务去校 验令牌的合法性,并根 据令牌获取⽤户的相关信息,性能低下
JWT认证
传统的授权模式性能低下,每次都需要请求授权服务校验令牌合法性,我们可以利⽤公钥私 钥完成对令牌的加密,如果加密解密成功,则表示令牌合法,如果加密解密失败,则表示令牌⽆ 效不合法,合法则允许访问资源服务器的资源,解密失败,则不允许访问资源服务器资源。
JWT使用
公钥和私钥
• 授权中⼼和资源中⼼持有私钥和公钥
• 私钥颁发令牌
• 公钥验证令牌