JWT实现原理

一、传统的session流程

 1.浏览器发起请求登陆
 2.服务端验证身份,生成身份验证信息,存储在服务端,并且告诉浏览器写入 Cookie
 3.浏览器发起请求获取用户资料,此时 Cookie 内容也跟随这发送到服务器
 4.服务器发现 Cookie 中有身份信息,验明正身
 5.服务器返回该用户的用户资料

二、JWT简介以及实现原理

1. 定义

 JWT,全称为Json Web Token,是风格轻量级的授权和身份认证规范,可实现无状态、分布式
的Web应用授权 。
 官网链接:https://jwt.io
 GetHub上jwt的客户端为:https://github.com/jwtk/jjwt

2. 数据格式
JWT包包含三部分数据Header + Payload + Signature
 ①Header:头部,通常头部有两部分信息:申明类型,这里是JWT,会对头部进行base64编码,得到第一部分数据。
 ②Payload: 载荷,就是有效数据,一般包含下面信息:a.用户身份信息(注意,因为这里采用的是base64编码,可解码,所以不要存放敏感信息);b.注册申明:比如token的签发时间,过期时间,签发人等;这一部分也是base64编码,得到第二部分数据。
 ③Signature:签名,是整个数据的认证信息,一般根据前两部的数据,再加上服务的秘钥(secret)(最好是周期性的更换),通过加密算法生成,用于验证整个数据的完整性和可靠性。
生成的数据格式:token=个人证件,jwt=个人身份证
在这里插入图片描述
3.交互流程
 流程图:
在这里插入图片描述

步骤解释:
 ① 浏览器发起请求登陆
 ② 服务端验证身份,根据算法,将用户标识符打包生成 token, 并且返回给浏览器
 ③ 浏览器发起请求获取用户资料,把刚刚拿到的 token 一起发送给服务器
 ④ 服务器发现数据中有 token,验明正身
 ⑤ 服务器返回该用户的用户资料
因为JWT签发的token中已经包含了用户的身份信息,并且每次都会携带,这样服务就无须保存用户信息,甚至无需去数据库查询,完全符和Rest的无状态规范

4.传统的sessionjwt区别
 ① session 存储在服务端占用服务器资源,而 JWT 存储在客户端
 ② session 存储在 Cookie 中,存在伪造跨站请求伪造攻击的风险
 ③ session 只存在一台服务器上,那么下次请求就必须请求这台服务器,不利于分布式应用
 ④ 存储在客户端的 JWT 比存储在服务端的 session 更具有扩展性
5.下面用一个例子来详细介绍JWT的结构

eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.
eyJpcCI6IjEyNy4wLjAuMSIsInV1aWQiOiJmZjEyMTJmNS1kOGQxLTQ0OTYtYmY0MS1kMmRkYTczZGUxOWEiLCJpYXQiOjE1Mjc1MjMwMTd9.
1C01cpOf1N3M9YAYvQjfcLbDGHZ4iPVncCGIoG-lpO0jHOIA_ZHtSMDvK1nzArLpGK5syQSwExsZJz2FJsd2W2TUiHQYtzmQTU8OBXX6mfSZRlkts675W5_WhIiOEwz69GFSD0AKXZifCRgIpKLC0n273MRMr0wJnuBi9ScfJ7YjSiqCr7qyQ5iXeOdS3ObT3wdjjk-Wu9wbWM7R25TFb-7PEZY7r_e8jmczPCVcNbOYegedu73T4d30kRn2jKufTGntD5hR6T9AQsgAMwVR1edEFflWb772TmrHI7WZOAivsBCN9sr4YiyYMvE8lcz_mBsgsunugGiHA3DGxB2ORbjIC8NPm8FI25zGOh9JIM2r_jFFTIm9GiuKtC8Ck8N3-eWi9u1NgBxwLdgN5JyCORnIOlciQEsScg-3SdCTM5LH_j6CeqQNwJxT4-oENzqLSTDJbP-SOj9nnx8HnJ5wh3n64rAvtc89CeTk7PhWFjksHDifngN-cnaszl5lqoF1enz5i9FYYELSjM-G7jns2SyY1MQeLRjuEDriPZtFaGmTW-RLH3gJfQXtbdpEo0_nHBqXEohwoN_FLKo4BNrEwshpyA7vkBpCQC0QALKyC1_L1Q5qduR6dDcqRozAo2VqJXmAKN0rvhLuIEHZkicOZY0Ds4So4GCcleqvFcxm1HQ

Header:
 JWT的 header 中承载了了两部分信息

{"alg": "RS256", "typ": "JWT" }
  • alg: 声明加密的算法
  • typ: 声明类型
    对这个头部信息进行了 base64 ,即可得到 header 部分。
const headerBuff = Buffer.from( 
JSON.stringify({ alg: "RS256", typ: "JWT" }) ); 
const header = headerBuff.toString("base64"); 
console.log(header); // eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9

Payload
  A. payload 是主体部分,意为载体,承载着有效的 JWT 数据包,它包含三部分

  • 标准声明
  • 公共声明
  • 私有声明

标准声明的字段

interface Stantar { iss?: string; 
// JWT的签发者 sub?: string; // JWT所面向的用户 aud?: string; 
// 接收JWT的一方 exp?: number; // JWT的过期时间 nbf?: number;
// 在xxx日期之间,该JWT都是可用的 iat?: number; 
// 该JWT签发的时间 jti?: number; //JWT的唯一身份标识 
}

公共声明的字段

interface Public { [key: string]: any; }

私有声明的字段

interface Private { [key: string]: any; }

B.  JWT 的结构为:

{  "ip": "127.0.0.1", "uuid": "ff1212f5-d8d1-4496-bf41-d2dda73de19a", "iat": 1527523017 }

同样是通过 base64 加密生成第二部分的 payload

const payloadBuffer = Buffer.from( 
JSON.stringify({ ip: "127.0.0.1", 
				uuid: "ff1212f5-d8d1-4496-bf41-d2dda73de19a", 
				iat: 1527523017 }) );
 const payload = payloadBuffer.toString("base64");
  console.log(payload); // eyJpcCI6IjEyNy4wLjAuMSIsInV1aWQiOiJmZjEyMTJmNS1kOGQxLTQ0OTYtYmY0MS1kMmRkYTczZGUxOWEiLCJpYXQiOjE1Mjc1MjMwMTd9

Signature
signature是签证信息,该签证信息是通过 header 和 pyload 在加上 secret ,通过加密锁算法生成。
公式:signature= 加密算法(header + “.” + payload, 密钥)
上面的 header 中,我们已经定义了加密算法使用 RS256,也已经实现了生成header和payload,下面我们来生成 signature

const crypto = require("crypto"); 
const sign = crypto.createSign("SHA256"); 
const secret = `自己的私钥`;

sign.write(header + "." + payload);
sign.end();

const signature = sign .sign(secret, "base64") 
// 在JWT库中,已经把这些字符过滤掉了 .replace(/=/g, "") .replace(/\+/g, "-") .replace(/\//g, "_"); 
console.log(signature);

到此,我们已经实现了如何生成一个 JWT 的 token 
6.它是如何做到身份验证的呢
 首先,JWT 的 Token 相当是明文,是可以解密的,任何存在 payload 的东西,都没有秘密可言,所以隐私数据不能签发 token。而服务端,拿到 token 后解密,即可知道用户信息,例如本例中的uuid,有了 uuid,那么你就知道这个用户是谁,是否有权限进行下一步的操作。
7.Token 的过期时间怎么确定?
payload 中有个标准字段 exp,明确表示了这个 token 的过期时间.

服务端可以拿这个时间与服务器时间作对比,过期则拒绝访问。

8.如何防止 Token 被串改?
此时 signature字段就是关键了,能被解密出明文的,只有 header 和 payload

假如黑客/中间人串改了 payload,那么服务器可以通过 signature 去验证是否被篡改过。

在服务端在执行一次 signature = 加密算法(header + “.” + payload, 密钥);, 然后对比  signature 是否一致,如果一致则说明没有被篡改。

所以为什么说服务器的密钥不能被泄漏。

如果泄漏,将存在以下风险:

  • 客户端可以自行签发 token
  • 黑客/中间人可以肆意篡改 token

9.安全性相关
如果加强 JWT 的安全性?

根据我的使用,总结以下几点:

  1. 缩短 token 有效时间
  2. 使用安全系数高的加密算法
  3. token 不要放在 Cookie 中,有 CSRF 风险
  4. 使用 HTTPS 加密协议
  5. 对标准字段 iss、sub、aud、nbf、exp 进行校验
  6. 使用成熟的开源库,不要手贱造轮子
  7. 特殊场景下可以把用户的 UA、IP 放进 payload 进行校验(不推荐)

三、非对称加密

加密技术是对信息进行编码和解码的技术,编码是把原来可读信息(明文)译成代码形式(又称密文),其逆过程就是解码(解密),加密技术的要点就是加密算法,加密算法可以分为三类:
①对称加密,如 AES

  • 基本原理:将明文分成N个组,然后使用密钥对各个组进行加密,形成各自的密文,最后把所有的分组密文进行合并,形成最终的密文。
  • 优势:算法公开、计算量小、加密速度快、加密效率高
  • 缺陷:双方都使用同样密钥,安全性得不到保证
    ①非对称加密,如 RSA
  • 基本原理:同时生成两把密钥:私钥和公钥,私钥隐秘保存,公钥可以下发给信任客户端。
    • 私钥加密,持有私钥或公钥才可以解密
    • 公钥加密,持有私钥才可解密
  • 优点:安全,难以破解
  • 缺点:算法比较耗时
    ①不可逆加密,如 MD5,SHA
  • 基本原理:加密过程中不需要使用密钥,输入明文后由系统直接经过加密算法处理成密文,这种加密后的数据是无法被解密的,无法根据密文推算出明文。
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值