JWT是什么?
JWT全稱Json Web Token, (英文發(fā)音參考單詞jot), 是一種新的基于Json的開放標(biāo)準(zhǔn)(RFC-7519). 與基于XML的SAML協(xié)議, JWT更為輕量.
一個典型的Token如下
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
JWT包含header, payload和signature三個部分, 每個部分最后都會以base64進(jìn)行編碼. 以"."進(jìn)行連接.
JWT支持多種加密方式, 如HS256(基于HMAC和SHA-256), RS256(RSA和SHA-256)等.
JWT正被快速的應(yīng)用在用戶認(rèn)證和信息交換等領(lǐng)域.
為什么要使用JWT?
1, JWT擁有良好的兼容性.
JWT可以很好的支持HTTP協(xié)議, 可以被用于HTTP Header, 可以作為Post請求參數(shù), 可以被用于URL. ?
JWT現(xiàn)在已經(jīng)有了.NET, Python, Node.js, Java, PHP, Ruby, Go, JavaScript, and Haskell實(shí)現(xiàn), 可以支持多種開發(fā)平臺.
2, JWT具有很好的擴(kuò)展性.
JWT可以使用JWA(RFC-7518)規(guī)范定義的所有加密算法.
JWT的payload部分也叫JWT Claims, 除了內(nèi)置的Claim, 如iss(Issuer), ?exp(Expiration time), 開發(fā)人員可以根據(jù)需要進(jìn)行擴(kuò)展.
3, JWT具有更多性能優(yōu)勢.
除了大小以外, JWT本身包含了用戶相關(guān)的授權(quán)信息, 可以減少對數(shù)據(jù)庫的重復(fù)查詢.
4, 相對于OAuth等重量級的協(xié)議, 實(shí)現(xiàn)JWT速度更快, 同時, JWT不需要基于cookie, 對移動設(shè)備更加友好.
JWT有哪些不足?
1, JWT無法被收回/撤銷.
對此, JWT的生命周期(exp)通常會設(shè)置的比較小. 或者要借助類似黑名單系統(tǒng), 來限制非法JWT的使用. JWT的優(yōu)勢之一是減少對用戶認(rèn)證系統(tǒng)的單點(diǎn)依賴, 而方案二則某種程度上弱化了這一優(yōu)勢.
2, 方案一則容易倒置更頻繁的更新Token請求.
JWT的應(yīng)用場景?
1, 用戶認(rèn)證. 尤其在單點(diǎn)登錄SSO場景中, 有良好的支持.
2, 信息交換. JWT本身就是一個帶有簽名的消息, 可以有效防止信息被篡改.
JWT的生成
1, 指定加密算法(header)
{ "alg": "HS256", "typ": "JWT" }
2, 值得Claims(payload)
{ "sub": "1234567890", "name": "John Doe", "admin": true }
3, 生成簽名
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
4, 組合, 最終通過登錄接口下發(fā)
5, 調(diào)用方
Authorization: Bearer xxx.bbb.ccc
或者通過到cookie.
6, 服務(wù)端驗(yàn)證
只需要使用相同的密鑰和header中指定的加密算法驗(yàn)證簽名的正確性即可.
總結(jié)
相對于OAuth2等復(fù)雜的認(rèn)證鑒權(quán)體系, JWT有著容易理解, 開發(fā)簡單, 輕量級等優(yōu)點(diǎn). 并且對于大多數(shù)基于token的認(rèn)證系統(tǒng)來說, 替換成本很低. 并且, JWT的生成/驗(yàn)證過程也非常獨(dú)立, 可以服務(wù)化, 使得JWT有著非常好的擴(kuò)展性(規(guī)模擴(kuò)展), 因此非常適合移動互聯(lián)網(wǎng)這種高并發(fā)的場景.
