使用JWT來保證API安全

JWT

why JWT

現(xiàn)在,前后端分離和 RESTful API 越來越火熱吹泡,當后臺漸漸開始只負責為客戶端提供 API 接口之后骤星,身份校驗和接口安全成了難題。在傳統(tǒng)的開發(fā)模式下爆哑,使用 cookie-session 可以保證接口安全洞难,在沒有登錄的情況下訪問關(guān)鍵數(shù)據(jù)會跳轉(zhuǎn)到登錄界面或者請求失敗。而使用 REStful API 之后揭朝,cookie-session 存在以下 3 個問題:

  • 客戶端除了瀏覽器队贱,可能還包括手機端 APP色冀,對于手機端而言,管理 cookie 是一件麻煩的事情柱嫌。
  • RESTful 風格的 API 不建議使用 cookie锋恬。
  • cookie 本身有一個缺陷,不能跨域编丘。

正是存在上面的幾個缺陷与学,現(xiàn)在 API 開始使用 JWT 代替 cookie-session 來做身份驗證。

what JWT

JWT 全稱 JSON Web Token嘉抓。本質(zhì)上 JWT 是一串 token 字符串癣防。客戶端登錄之后掌眠,服務端返回一串 token 給客戶端孩等,之后每次客戶端請求 API 接口都需要攜帶該 token 進行身份校驗。JWT 由三個部分組成:頭部(header)痕鳍、載荷(payload)疲憋、簽名(signature)。這三個部分使用 . 連接在一起就是一個完整的 JWT渺尘。所以挫鸽,一個完整的 JWT 應該類似下面這種形式:

xxxxxx.yyyyy.zzzzz

header

header 是一個 json 數(shù)據(jù),用于描述 JWT 的基本信息鸥跟。一般要由兩個部分組成:

  • alg
  • typ

alg 代表的是加密所使用的算法(后面會提到加密數(shù)據(jù))丢郊,typ 表示該 token 是什么類型的。這里 typ 自然是 JWT医咨。

{
    'alg':'HS256',
    'typ':'JWT'
}

一個完整的 header 信息枫匾。最后使用 Base64 對 header 進行編碼,得到 JWT 的第一部分拟淮。

payload

payload 是 JWT 存儲信息的部分干茉。payload 也是一個 json 數(shù)據(jù),每一個 json 的 key-value 稱為一個聲明很泊。

payload 有兩種類型的聲明:標準聲明和自定義聲明角虫。

標準聲明一共有 6 個,其名稱和對應含義如下:

  • iss : JWT 的簽發(fā)者委造。
  • iat : JWT 的簽發(fā)時間戳鹅,是一個 unix 時間戳。
  • exp : JWT 的過期時間昏兆,是一個 unxi 時間戳枫虏。
  • aud : 接受 JWT 的一方。
  • sub : JWT 所面向的用戶。
  • jti : 唯一標識一個 JWT模软。

自定義聲明為用戶自己定義的 key-value伟骨,可以用來存儲一些簡單的基本信息∪家欤考慮到性能携狭,不應該在 payload 中定義太多自定義聲明。

定義一個 payload :

{
    "iss": "jaychen",
    "iat": 1441593502,
    "exp": 1441594722,
    "aud": "jaychen.cc",
    "sub": "chenjiayaooo@gmail.com",
    "jti:" "xxxxxxxx",

    "user_id": "1",
    "username": "jaychen"
}

上面這個 payload 中回俐,idusername 為自定義聲明逛腿。

有了 payload 只有,將該 payload 進行 Base64 加密仅颇,得到一串字符串之后单默,用 . 把 header 和 payload 連接起來。

signature

將 header 和 payload 兩個部分連接起來之后忘瓦,得到的字符串類似下面

xxxxx.yyyyy

接著搁廓,使用 header.alg 定義的加密算法對 hader.payload 的字符串進行加密,并且加密的時候應該有一個密鑰耕皮。加密之后境蜕,得到一串加密字符串,最后把這串加密字符串也是用 . 拼接在 header.payload 后面凌停,形成完整的 JWT粱年。

這里簽名的目的是為了保證 payload 數(shù)據(jù)的完整性。如果 JWT 在傳輸過程中被第三方劫持罚拟,中間人對 header.payload 進行修改台诗,并且使用自己的密鑰重新簽名。服務端收到中間人修改過的 JWT赐俗,使用自己的密鑰對 header.payload 進行再次加密拉队,由于中間人和服務端使用的是不同的密鑰簽名,所以服務端再次加密的結(jié)果肯定和中間人加密的結(jié)果不一致秃励,由此可以斷定該 JWT 被惡意篡改氏仗。

基于 JWT 的身份驗證

現(xiàn)在已經(jīng)明白了 JWT 的生成過程吉捶,現(xiàn)在來梳理下 JWT 的使用流程夺鲜。

  • 首次登陸系統(tǒng),向服務端發(fā)送 username&&password 進行登錄呐舔。
  • 服務端驗證 username&&password,驗證合法為客戶端生成一串 JWT币励,這里在 payload 中可以自定義聲明 user_id,username 等字段用來保存信息。
  • 客戶端收到服務端的 JWT 字符串珊拼,自行保存食呻。后續(xù)需要請求 API 都要攜帶該 JWT 到服務端進行身份校驗。
  • 服務端收到客戶端的 API 請求,先獲取 JWT 信息仅胞,通過簽名判斷 JWT 的合法性每辟,如果合法,返回數(shù)據(jù)干旧。

JWT 的優(yōu)點和注意事項

注意事項

上面生成 JWT 的過程中使用了 Base64 的加密算法對 payload 進行加密渠欺,Base64 是一種可逆的加密算法,這意味著其他人可以輕易的從加密結(jié)果中得到加密之前的信息椎眯,所以這注定了 payload 中不能保存密碼之類的敏感信息挠将。

優(yōu)點

回顧上面生成 JWT 的步驟,payload 中我們保存了 user_idusername 這樣的信息编整。在傳統(tǒng)的 cookie-session 中舔稀,這些數(shù)據(jù)是服務端在 session 中維護的。JWT 把之前需要在服務端維護的 session 數(shù)據(jù)轉(zhuǎn)移到客戶端掌测,使得服務端的壓力小了很多内贮。

JWT 本質(zhì)只是一串字符串,所以可以無限制的使用各種姿勢傳遞給服務端:當做 get 參數(shù)拼接在 URL 中汞斧、添加到 header 頭部中贺归、當做 post 參數(shù)傳遞。断箫。拂酣。

如果客戶端是手機 APP 等非瀏覽器客戶端,那么使用 JWT 就可以免去對 cookie 的管理仲义。

本文首發(fā)于:https://jaychen.cc
作者:jaychen

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末婶熬,一起剝皮案震驚了整個濱河市,隨后出現(xiàn)的幾起案子埃撵,更是在濱河造成了極大的恐慌赵颅,老刑警劉巖,帶你破解...
    沈念sama閱讀 217,277評論 6 503
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件暂刘,死亡現(xiàn)場離奇詭異饺谬,居然都是意外死亡,警方通過查閱死者的電腦和手機谣拣,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,689評論 3 393
  • 文/潘曉璐 我一進店門募寨,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人森缠,你說我怎么就攤上這事拔鹰。” “怎么了贵涵?”我有些...
    開封第一講書人閱讀 163,624評論 0 353
  • 文/不壞的土叔 我叫張陵列肢,是天一觀的道長恰画。 經(jīng)常有香客問我,道長瓷马,這世上最難降的妖魔是什么拴还? 我笑而不...
    開封第一講書人閱讀 58,356評論 1 293
  • 正文 為了忘掉前任,我火速辦了婚禮欧聘,結(jié)果婚禮上自沧,老公的妹妹穿的比我還像新娘。我一直安慰自己树瞭,他們只是感情好拇厢,可當我...
    茶點故事閱讀 67,402評論 6 392
  • 文/花漫 我一把揭開白布。 她就那樣靜靜地躺著晒喷,像睡著了一般孝偎。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上凉敲,一...
    開封第一講書人閱讀 51,292評論 1 301
  • 那天衣盾,我揣著相機與錄音,去河邊找鬼爷抓。 笑死势决,一個胖子當著我的面吹牛,可吹牛的內(nèi)容都是我干的蓝撇。 我是一名探鬼主播果复,決...
    沈念sama閱讀 40,135評論 3 418
  • 文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼渤昌!你這毒婦竟也來了虽抄?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 38,992評論 0 275
  • 序言:老撾萬榮一對情侶失蹤独柑,失蹤者是張志新(化名)和其女友劉穎迈窟,沒想到半個月后,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體忌栅,經(jīng)...
    沈念sama閱讀 45,429評論 1 314
  • 正文 獨居荒郊野嶺守林人離奇死亡车酣,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 37,636評論 3 334
  • 正文 我和宋清朗相戀三年,在試婚紗的時候發(fā)現(xiàn)自己被綠了索绪。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片湖员。...
    茶點故事閱讀 39,785評論 1 348
  • 序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖者春,靈堂內(nèi)的尸體忽然破棺而出破衔,到底是詐尸還是另有隱情,我是刑警寧澤钱烟,帶...
    沈念sama閱讀 35,492評論 5 345
  • 正文 年R本政府宣布,位于F島的核電站,受9級特大地震影響拴袭,放射性物質(zhì)發(fā)生泄漏读第。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點故事閱讀 41,092評論 3 328
  • 文/蒙蒙 一拥刻、第九天 我趴在偏房一處隱蔽的房頂上張望怜瞒。 院中可真熱鬧,春花似錦般哼、人聲如沸吴汪。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,723評論 0 22
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽漾橙。三九已至,卻和暖如春楞卡,著一層夾襖步出監(jiān)牢的瞬間霜运,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 32,858評論 1 269
  • 我被黑心中介騙來泰國打工蒋腮, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留淘捡,地道東北人。 一個月前我還...
    沈念sama閱讀 47,891評論 2 370
  • 正文 我出身青樓池摧,卻偏偏與公主長得像焦除,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子作彤,可洞房花燭夜當晚...
    茶點故事閱讀 44,713評論 2 354

推薦閱讀更多精彩內(nèi)容