介紹JWT
在本文中,將解釋JSON Web Tokens(JWT)的基本原理荣德,以及為什么使用它們翔冀。 JWT是確保應(yīng)用程序中的信任和安全性的重要部分。 JWT允許以安全的方式表示諸如用戶數(shù)據(jù)的聲明耻蛇。
為了解釋JWT如何工作踪蹬,讓我們從JWT的抽象定義(RFC 7519)開始。
JSON Web Token (JWT) is a compact, URL-safe means of representing
claims to be transferred between two parties. The claims in a JWT
are encoded as a JSON object that is used as the payload of a JSON
Web Signature (JWS) structure or as the plaintext of a JSON Web
Encryption (JWE) structure, enabling the claims to be digitally
signed or integrity protected with a Message Authentication Code
(MAC) and/or encrypted.
一個(gè)令牌就像這樣:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
令牌中包含了三個(gè)部分:
** header.claims.signature** (也有寫成 ** header.payload.signature**的臣咖,意思是一樣的跃捣。)
Header
header 部分是一個(gè)簡(jiǎn)單的聲明對(duì)象,這個(gè)聲明包括 signature 使用的算法.
{
"alg" : "AES256",
"typ" : "JWT"
}
Claims
Cliams 也有稱之為Payloads夺蛇,是存放有效信息的地方疚漆。這個(gè)部分包含了業(yè)務(wù)中的所有的信息,用戶可以任意自定義刁赦,但是要避免過于復(fù)雜或者太多的Claims影響性能娶聘。
標(biāo)準(zhǔn)中注冊(cè)的聲明 (建議但不強(qiáng)制使用) :
- iss: jwt簽發(fā)者
- sub: jwt所面向的用戶
- aud: 接收jwt的一方
- exp: jwt的過期時(shí)間,這個(gè)過期時(shí)間必須要大于簽發(fā)時(shí)間
- nbf: 定義在什么時(shí)間之前甚脉,該jwt都是不可用的.
- iat: jwt的簽發(fā)時(shí)間
- jti: jwt的唯一身份標(biāo)識(shí)丸升,主要用來作為一次性token,從而回避重放攻擊。
我們看看下面的示例:
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
Signature
Header和Claims使用的是base64編碼牺氨,任何一個(gè)人都可以使用工具進(jìn)行 編碼 和 解碼狡耻,所以,在設(shè)計(jì)JWT時(shí)猴凹,不應(yīng)該在Cliams(聲明)里面加入任何敏感的數(shù)據(jù)夷狰,如用戶密碼之類。
Signature 的主要目的是保護(hù) Header 和 Claims 部分不能被篡改郊霎,一般的做法就是使用 hash 算法生成一個(gè)簽名沼头。這個(gè)只要保證服務(wù)器端的私有 key 是一致的,且不被泄露书劝,就能保證這個(gè) Claims 部分的信息是可信的进倍。如下圖部分,API Server通過檢查JWT庄撮,即可以驗(yàn)證Token的真?zhèn)危瑹o需再與Auth Server進(jìn)行通信驗(yàn)證毙籽。
JWT 的適用范圍和優(yōu)點(diǎn)
JWT 非常適用于分布式的無狀態(tài) API 服務(wù)器鑒權(quán)洞斯。
優(yōu)點(diǎn):
- 開發(fā)簡(jiǎn)單
- 不需要 cookie
- 使用了對(duì)移動(dòng)端友好的 JSON 格式
- 不依賴于登陸服務(wù)器
- 概念簡(jiǎn)單容易理解
