1.Token的特性
- 唯一性
- 時(shí)效性
- 不可預(yù)測(cè)性
- 無(wú)狀態(tài)性
2.Token的結(jié)構(gòu)組成
token由msg续扔、separator、signature三部分組成
msg部分
msg由客戶端標(biāo)識(shí)信息(uid案疲、did)芥喇、隨機(jī)字符主體权逗、過(guò)期時(shí)間戳兩部分組成。
separator分隔符部分
用符號(hào)分隔msg部分和加密后的signature簽名部分捣染,比如“$”骄瓣、"."等
簽名signature部分
signature簽名,是對(duì)上面提到的msg耍攘,按照msg中提到的msg的信息部分榕栏,按照特定的密匙進(jìn)行加密。
token = base64(msg)格式化..base64(sha256("密匙", msg))
Token驗(yàn)證
當(dāng)用戶從客戶端蕾各,得到token扒磁,再次提交給服務(wù)器的時(shí)候,服務(wù)器先判斷token的有效性式曲,如果有效則處理請(qǐng)求妨托。
驗(yàn)證流程
- 客戶端使用用戶名和密碼請(qǐng)求登錄
- 服務(wù)端收到請(qǐng)求,驗(yàn)證登錄是否成功
- 驗(yàn)證成功后吝羞,服務(wù)端會(huì)返回一個(gè)Token給客戶端兰伤,反之,返回身份驗(yàn)證失敗的信息
- 客戶端收到Token并存儲(chǔ)
- 客戶端每次發(fā)起請(qǐng)求時(shí)都會(huì)將Token發(fā)給服務(wù)端
- 服務(wù)端收到請(qǐng)求后钧排,驗(yàn)證Token的合法性敦腔,合法就返回客戶端所需數(shù)據(jù),反之恨溜,返回驗(yàn)證失敗的信息
(1)token解構(gòu)
服務(wù)器對(duì)客戶端發(fā)來(lái)的token進(jìn)行解構(gòu)為msg符衔、separator、signature三部分糟袁。
(2)驗(yàn)證時(shí)效
服務(wù)器先驗(yàn)證token是否還具有時(shí)效性柏腻,如果不具有時(shí)效性則拒絕訪問。
(3)簽名驗(yàn)證
服務(wù)器對(duì)客戶端發(fā)送的信息進(jìn)行簽名系吭,如果得到的簽名與客戶端發(fā)來(lái)的簽名相同,則token有效
3.JWT(JSON Web Token)
組成部分
JWT由以下三部分組成:
Header(頭部)
Payload(負(fù)載)
Signature(簽名)
即:
Header.Payload.Signature
Header
Header 部分是一個(gè) JSON 對(duì)象颗品,描述 JWT 的元數(shù)據(jù)肯尺,通常是下面的樣子沃缘。
{
"alg": "HS256",
"typ": "JWT"
}
alg屬性表示簽名的算法(algorithm),默認(rèn)是 HMAC SHA256(寫成 HS256)
typ屬性表示這個(gè)令牌(token)的類型(type)则吟,JWT 令牌統(tǒng)一寫為JWT槐臀。
Payload
Payload 部分也是一個(gè) JSON 對(duì)象,用來(lái)存放實(shí)際需要傳遞的數(shù)據(jù)氓仲。JWT 規(guī)定了7個(gè)官方字段水慨,供選用。
- iss (issuer):簽發(fā)人
- exp (expiration time):過(guò)期時(shí)間
- sub (subject):主題
- aud (audience):受眾
- nbf (Not Before):生效時(shí)間
- iat (Issued At):簽發(fā)時(shí)間
- jti (JWT ID):編號(hào)
除了官方字段敬扛,你還可以在這個(gè)部分定義私有字段晰洒,下面就是一個(gè)例子:
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
注意,JWT 默認(rèn)是不加密的啥箭,任何人都可以讀到谍珊,所以不要把秘密信息放在這個(gè)部分。
這個(gè) JSON 對(duì)象也要使用 Base64URL 算法轉(zhuǎn)成字符串急侥。
Signature
Signature 部分是對(duì)前兩部分的簽名砌滞,防止數(shù)據(jù)篡改。
首先坏怪,需要指定一個(gè)密鑰(secret)贝润。這個(gè)密鑰只有服務(wù)器才知道,不能泄露給用戶铝宵。然后打掘,使用 Header 里面指定的簽名算法(默認(rèn)是 HMAC SHA256),按照下面的公式產(chǎn)生簽名:
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
算出簽名以后捉超,把 Header胧卤、Payload、Signature 三個(gè)部分拼成一個(gè)字符串拼岳,每個(gè)部分之間用"點(diǎn)"(.)分隔枝誊,就可以返回給用戶。
Base64URL
前面提到惜纸,Header 和 Payload 串型化的算法是 Base64URL叶撒。這個(gè)算法跟 Base64 算法基本類似,但有一些小的不同耐版。
JWT 作為一個(gè)令牌(token)祠够,有些場(chǎng)合可能會(huì)放到 URL(比如 api.example.com/?token=xxx)。Base64 有三個(gè)字符+粪牲、/和=古瓤,在 URL 里面有特殊含義,所以要被替換掉:=被省略、+替換成-落君,/替換成_ 穿香。這就是 Base64URL 算法。
JWT 的使用方式
客戶端收到服務(wù)器返回的 JWT绎速,可以儲(chǔ)存在 Cookie 里面皮获,也可以儲(chǔ)存在 localStorage。
此后纹冤,客戶端每次與服務(wù)器通信洒宝,都要帶上這個(gè) JWT。你可以把它放在 Cookie 里面自動(dòng)發(fā)送萌京,但是這樣不能跨域雁歌,所以更好的做法是放在 HTTP 請(qǐng)求的頭信息Authorization字段里面。
Authorization: Bearer <token>
另一種做法是枫夺,跨域的時(shí)候将宪,JWT 就放在 POST 請(qǐng)求的數(shù)據(jù)體里面。
JWT 的幾個(gè)特點(diǎn)
(1)JWT 默認(rèn)是不加密橡庞,但也是可以加密的较坛。生成原始 Token 以后,可以用密鑰再加密一次扒最。
(2)JWT 不加密的情況下丑勤,不能將秘密數(shù)據(jù)寫入 JWT。
(3)JWT 不僅可以用于認(rèn)證吧趣,也可以用于交換信息法竞。有效使用 JWT,可以降低服務(wù)器查詢數(shù)據(jù)庫(kù)的次數(shù)强挫。
(4)JWT 的最大缺點(diǎn)是岔霸,由于服務(wù)器不保存 session 狀態(tài),因此無(wú)法在使用過(guò)程中廢止某個(gè) token俯渤,或者更改 token 的權(quán)限呆细。也就> 是說(shuō),一旦 JWT 簽發(fā)了八匠,在到期之前就會(huì)始終有效絮爷,除非服務(wù)器部署額外的邏輯。
(5)JWT 本身包含了認(rèn)證信息梨树,一旦泄露坑夯,任何人都可以獲得該令牌的所有權(quán)限。為了減少盜用抡四,JWT 的有效期應(yīng)該設(shè)置得比較短柜蜈。對(duì)于一些比較重要的權(quán)限仗谆,使用時(shí)應(yīng)該再次對(duì)用戶進(jìn)行認(rèn)證。
(6)為了減少盜用跨释,JWT 不應(yīng)該使用 HTTP 協(xié)議明碼傳輸胸私,要使用 HTTPS 協(xié)議傳輸。
