WT是什么
JWT一看就是簡稱估盘,它的全稱JSON Web Token,從字面上我們看出
1剔氏、數(shù)據(jù)是JSON格式
2塑猖、用于Web應(yīng)用
3、是一個Token介蛉,也就是一個令牌方式
看看官方的說明萌庆,它定義了一種緊湊且自包含的方式,用于在各方之間以JSON對象進(jìn)行安全傳輸信息币旧。這些信息可以通過對稱/非對稱方式進(jìn)行簽名践险,防止信息被串改。
緊湊的含義:就是JWT比較小吹菱,數(shù)據(jù)量不大巍虫,可以通過URL、POST參數(shù)或Header請求頭方式進(jìn)行傳輸鳍刷。
自包含的含義:jwt可以讓用戶自定義JWT里面包含的用戶信息占遥,如:姓名、昵稱等(不要放隱密的信息)输瓜。從而避免了多次查詢數(shù)據(jù)庫瓦胎。
JWT數(shù)據(jù)結(jié)構(gòu)
JWT由三個部分組成
1、Header
2尤揣、Payload
3搔啊、Signature
三者組合在一起
Header.Payload.Signature
案例
看上去是不是滿亂,我們來依次看下里面的結(jié)構(gòu)北戏。
Header
這個是JWT第一段數(shù)據(jù)负芋,表示頭部信息,主要的作用是描述JWT的元數(shù)據(jù)嗜愈,上面的案例就是:
{alg:"HS256",typ:"JWT"}
1旧蛾、alg屬性表示簽名的算法莽龟,默認(rèn)算法為HS256,可以自行別的算法锨天。
2毯盈、typ屬性表示這個令牌的類型,JWT令牌就為JWT绍绘。
上面的JSON數(shù)據(jù)會通過Base64算法進(jìn)行編碼而成奶镶,看工具圖
Payload
此為JWT第二段數(shù)據(jù),用來存放實(shí)際需要傳遞的數(shù)據(jù)陪拘。JWT官方也規(guī)定了7個字段供選用
當(dāng)然除了官方字段,我們可以自定義字段纤壁,以上面的案例左刽,我們看下實(shí)際的數(shù)據(jù)
注意:這段也是用Base64算法,JWT默認(rèn)是不加密的酌媒,任何人都可以獲取欠痴,只要進(jìn)行Base64解碼就行了,所以不要把隱密的信息放到JWT中
Signature
此為JWT第三段數(shù)據(jù)秒咨,主要作用是對前面兩段的數(shù)據(jù)進(jìn)行簽名喇辽,防止數(shù)據(jù)篡改。一般我們進(jìn)行簽名的時候會有個密鑰(secret)雨席,只有服務(wù)器知道菩咨,然后利用Header中的簽名算法進(jìn)行簽名,公式如下:
HMACSHA256(? base64UrlEncode(header) + "." + base64UrlEncode(payload),? secret)
算出簽名后陡厘,把Header抽米、Payload、Signature三個部分拼成一個字符串糙置,之間用(.)分隔云茸,這樣就可以把組合而成的字符串返回給用戶了。
JWT的工作方式
在用戶進(jìn)行認(rèn)證登錄時谤饭,登錄成功后服務(wù)器會返回一個JWT給客戶端标捺;那這個JWT就是用戶的憑證,以后到哪里去都要帶上這個憑證token揉抵。尤其訪問受保護(hù)的資源的時候亡容,通常把JWT放在Authorization header中。要用 Bearer schema功舀,如header請求頭中:
Authorization: Bearer<token>
基于JWT的身份認(rèn)證
上面的JWT的工作方式萍倡,其實(shí)就是一個完整的身份認(rèn)證流程,我們這里把這個講的在通俗一點(diǎn)辟汰。
1列敲、用戶提供用戶名和密碼登錄
2阱佛、服務(wù)器校驗(yàn)用戶是否正確,如正確戴而,就返回token給客戶端凑术,此token可以包含用戶信息
3、客戶端存儲token所意,可以保存在cookie或者local storage
4淮逊、客戶端以后請求時,都要帶上這個token扶踊,一般放在請求頭中
5泄鹏、服務(wù)器判斷是否存在token,并且解碼后就可以知道是哪個用戶
6秧耗、服務(wù)器這樣就可以返回該用戶的相關(guān)信息了
這個流程小伙伴們有沒有發(fā)現(xiàn)备籽,用戶信息是放在JWT中的,是存放在客戶端(cookie分井,local storage)中的车猬,服務(wù)器只需解碼驗(yàn)證就行了,就可以知道獲取到用戶信息尺锚。而我們之前的Session方式就不一樣珠闰。
與Session-Cookie方式的區(qū)別
Session-Cookie方式的這里就不多作介紹了,之前文章已經(jīng)介紹了瘫辩。直接上圖說明區(qū)別
上圖是Sesson服務(wù)器方式伏嗜,我們發(fā)現(xiàn)Session用戶信息是在服務(wù)器端存儲的。
我們再來看看JWT方式
上面的token即用戶信息是存儲在客戶端的杭朱,服務(wù)器端只要解碼即可阅仔。
JWT方式認(rèn)證的好處
1、因?yàn)閠oken存儲在客戶端弧械,服務(wù)器只負(fù)責(zé)解碼八酒。這樣不需要占用服務(wù)器端資源。
2刃唐、服務(wù)器端可以無限擴(kuò)展羞迷,負(fù)載均衡器可以將用戶傳遞到任何服務(wù)器,服務(wù)器都能知道用戶信息画饥,因?yàn)閖wt里面包含了衔瓮。
3、數(shù)據(jù)安全抖甘,因?yàn)橛泻灻?/b>热鞍,防止了篡改,但信息還是透明的,不要放敏感信息薇宠。
4偷办、放入請求頭提交,很好的防止了csrf攻擊澄港,
說了這么多的好處椒涯,那是不是JWT就非常適合替換掉Session方式呢?
JWT方式的壞處
一回梧、token失效問題
JWT方式最大的壞處就是無法主動讓token失效废岂,小伙伴們會說token不是有過期時間嗎?是的狱意,token本身是有過期時間湖苞,但token一旦發(fā)出,服務(wù)器就無法收回详囤。
如:一個jwt的token的失效時間是3天袒啼,但我們發(fā)現(xiàn)這個token有異常,有可能被人登錄纬纪,那真實(shí)的用戶可以修改密碼。但是即使修改了密碼滑肉,那個異常的token還是合法的包各,因?yàn)?天的失效時間未到,我們服務(wù)器是沒法主動讓異常token失效靶庙。
二问畅、數(shù)據(jù)延時,不一致問題
還有個問題就是因?yàn)閖wt中包含了用戶的部分信息六荒,如果這些部分信息修改了护姆,服務(wù)器獲取的還是以前的jwt中的用戶信息,導(dǎo)致數(shù)據(jù)不一致掏击。
總結(jié)
小伙伴們怎么去選擇Session的方式卵皂,是用傳統(tǒng)的Sesion-Cookie服務(wù)器方式,還是用JWT方式砚亭,具體集合業(yè)務(wù)看灯变。不過老顧這里推薦還是用傳統(tǒng)的方式,因?yàn)橐院蟮臉I(yè)務(wù)很有可能會用到用戶Session捅膘。好了添祸,謝謝!Q罢獭刃泌!
作者:享學(xué)課堂
鏈接:http://www.reibang.com/p/8d7c84c40c0c
來源:簡書
著作權(quán)歸作者所有。商業(yè)轉(zhuǎn)載請聯(lián)系作者獲得授權(quán),非商業(yè)轉(zhuǎn)載請注明出處耙替。
