5分鐘了解JWT

JSON Web Token(JWT)是目前最流行的跨域身份驗(yàn)證解決方案囤攀。蟲(chóng)蟲(chóng)今天給大家介紹JWT的原理和用法。

1.跨域身份驗(yàn)證

Internet服務(wù)無(wú)法與用戶(hù)身份驗(yàn)證分開(kāi)俐巴。一般過(guò)程如下。

1.用戶(hù)向服務(wù)器發(fā)送用戶(hù)名和密碼。

2.驗(yàn)證服務(wù)器后恬惯,相關(guān)數(shù)據(jù)(如用戶(hù)角色蜻牢,登錄時(shí)間等)將保存在當(dāng)前會(huì)話(huà)中烤咧。

3.服務(wù)器向用戶(hù)返回session_id,session信息都會(huì)寫(xiě)入到用戶(hù)的Cookie抢呆。

4.用戶(hù)的每個(gè)后續(xù)請(qǐng)求都將通過(guò)在Cookie中取出session_id傳給服務(wù)器煮嫌。

5.服務(wù)器收到session_id并對(duì)比之前保存的數(shù)據(jù),確認(rèn)用戶(hù)的身份


image.png

這種模式最大的問(wèn)題是抱虐,沒(méi)有分布式架構(gòu)立膛,無(wú)法支持橫向擴(kuò)展。如果使用一個(gè)服務(wù)器梯码,該模式完全沒(méi)有問(wèn)題宝泵。但是,如果它是服務(wù)器群集或面向服務(wù)的跨域體系結(jié)構(gòu)的話(huà)轩娶,則需要一個(gè)統(tǒng)一的session數(shù)據(jù)庫(kù)庫(kù)來(lái)保存會(huì)話(huà)數(shù)據(jù)實(shí)現(xiàn)共享儿奶,這樣負(fù)載均衡下的每個(gè)服務(wù)器才可以正確的驗(yàn)證用戶(hù)身份。

例如蟲(chóng)蟲(chóng)舉一個(gè)實(shí)際中常見(jiàn)的單點(diǎn)登陸的需求:站點(diǎn)A和站點(diǎn)B提供同一公司的相關(guān)服務(wù)■悖現(xiàn)在要求用戶(hù)只需要登錄其中一個(gè)網(wǎng)站闯捎,然后它就會(huì)自動(dòng)登錄到另一個(gè)網(wǎng)站。怎么做许溅?

一種解決方案是聽(tīng)過(guò)持久化session數(shù)據(jù)瓤鼻,寫(xiě)入數(shù)據(jù)庫(kù)或文件持久層等。收到請(qǐng)求后贤重,驗(yàn)證服務(wù)從持久層請(qǐng)求數(shù)據(jù)茬祷。該解決方案的優(yōu)點(diǎn)在于架構(gòu)清晰,而缺點(diǎn)是架構(gòu)修改比較費(fèi)勁并蝗,整個(gè)服務(wù)的驗(yàn)證邏輯層都需要重寫(xiě)祭犯,工作量相對(duì)較大秸妥。而且由于依賴(lài)于持久層的數(shù)據(jù)庫(kù)或者問(wèn)題系統(tǒng),會(huì)有單點(diǎn)風(fēng)險(xiǎn)沃粗,如果持久層失敗粥惧,整個(gè)認(rèn)證體系都會(huì)掛掉。

image.png

本文蟲(chóng)蟲(chóng)給大家介紹另外一種靈活的解決方案最盅,通過(guò)客戶(hù)端保存數(shù)據(jù)突雪,而服務(wù)器根本不保存會(huì)話(huà)數(shù)據(jù),每個(gè)請(qǐng)求都被發(fā)送回服務(wù)器涡贱。 JWT是這種解決方案的代表挂签。

image.png

2. JWT的原則

JWT的原則是在服務(wù)器身份驗(yàn)證之后,將生成一個(gè)JSON對(duì)象并將其發(fā)送回用戶(hù)盼产,如下所示饵婆。

{

"UserName": "Chongchong",

"Role": "Admin",

"Expire": "2018-08-08 20:15:56"

}

之后,當(dāng)用戶(hù)與服務(wù)器通信時(shí)戏售,客戶(hù)在請(qǐng)求中發(fā)回JSON對(duì)象侨核。服務(wù)器僅依賴(lài)于這個(gè)JSON對(duì)象來(lái)標(biāo)識(shí)用戶(hù)。為了防止用戶(hù)篡改數(shù)據(jù)灌灾,服務(wù)器將在生成對(duì)象時(shí)添加簽名(有關(guān)詳細(xì)信息搓译,請(qǐng)參閱下文)。

服務(wù)器不保存任何會(huì)話(huà)數(shù)據(jù)锋喜,即服務(wù)器變?yōu)闊o(wú)狀態(tài)些己,使其更容易擴(kuò)展。

3. JWT的數(shù)據(jù)結(jié)構(gòu)

典型的嘿般,一個(gè)JWT看起來(lái)如下圖段标。

改對(duì)象為一個(gè)很長(zhǎng)的字符串,字符之間通過(guò)"."分隔符分為三個(gè)子串炉奴。注意JWT對(duì)象為一個(gè)長(zhǎng)字串逼庞,各字串之間也沒(méi)有換行符,此處為了演示需要瞻赶,我們特意分行并用不同顏色表示了赛糟。每一個(gè)子串表示了一個(gè)功能塊,總共有以下三個(gè)部分:

JWT的三個(gè)部分如下砸逊。JWT頭璧南、有效載荷和簽名,將它們寫(xiě)成一行如下师逸。

image.png

我們將在下面介紹這三個(gè)部分司倚。
3.1 JWT頭

JWT頭部分是一個(gè)描述JWT元數(shù)據(jù)的JSON對(duì)象,通常如下所示。

{

"alg": "HS256",

"typ": "JWT"

}

在上面的代碼中对湃,alg屬性表示簽名使用的算法崖叫,默認(rèn)為HMAC SHA256(寫(xiě)為HS256)遗淳;typ屬性表示令牌的類(lèi)型拍柒,JWT令牌統(tǒng)一寫(xiě)為JWT。

最后屈暗,使用Base64 URL算法將上述JSON對(duì)象轉(zhuǎn)換為字符串保存拆讯。

3.2 有效載荷

有效載荷部分,是JWT的主體內(nèi)容部分养叛,也是一個(gè)JSON對(duì)象种呐,包含需要傳遞的數(shù)據(jù)。 JWT指定七個(gè)默認(rèn)字段供選擇弃甥。

iss:發(fā)行人

exp:到期時(shí)間

sub:主題

aud:用戶(hù)

nbf:在此之前不可用

iat:發(fā)布時(shí)間

jti:JWT ID用于標(biāo)識(shí)該JWT

除以上默認(rèn)字段外爽室,我們還可以自定義私有字段,如下例:

{

"sub": "1234567890",

"name": "chongchong",

"admin": true

}

請(qǐng)注意淆攻,默認(rèn)情況下JWT是未加密的阔墩,任何人都可以解讀其內(nèi)容,因此不要構(gòu)建隱私信息字段瓶珊,存放保密信息啸箫,以防止信息泄露。

JSON對(duì)象也使用Base64 URL算法轉(zhuǎn)換為字符串保存伞芹。

3.3簽名哈希

簽名哈希部分是對(duì)上面兩部分?jǐn)?shù)據(jù)簽名忘苛,通過(guò)指定的算法生成哈希,以確保數(shù)據(jù)不會(huì)被篡改唱较。

首先扎唾,需要指定一個(gè)密碼(secret)。該密碼僅僅為保存在服務(wù)器中南缓,并且不能向用戶(hù)公開(kāi)稽屏。然后,使用標(biāo)頭中指定的簽名算法(默認(rèn)情況下為HMAC SHA256)根據(jù)以下公式生成簽名西乖。

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),

secret)

在計(jì)算出簽名哈希后狐榔,JWT頭,有效載荷和簽名哈希的三個(gè)部分組合成一個(gè)字符串获雕,每個(gè)部分用"."分隔薄腻,就構(gòu)成整個(gè)JWT對(duì)象。

3.4 Base64URL算法

如前所述届案,JWT頭和有效載荷序列化的算法都用到了Base64URL庵楷。該算法和常見(jiàn)Base64算法類(lèi)似,稍有差別。

作為令牌的JWT可以放在URL中(例如api.example/?token=xxx)尽纽。 Base64中用的三個(gè)字符是"+"咐蚯,"/"和"=",由于在URL中有特殊含義弄贿,因此Base64URL中對(duì)他們做了替換:"="去掉春锋,"+"用"-"替換,"/"用"_"替換差凹,這就是Base64URL算法期奔,很簡(jiǎn)單把。

4. JWT的用法

客戶(hù)端接收服務(wù)器返回的JWT危尿,將其存儲(chǔ)在Cookie或localStorage中呐萌。

此后,客戶(hù)端將在與服務(wù)器交互中都會(huì)帶JWT谊娇。如果將它存儲(chǔ)在Cookie中肺孤,就可以自動(dòng)發(fā)送,但是不會(huì)跨域济欢,因此一般是將它放入HTTP請(qǐng)求的Header Authorization字段中赠堵。

Authorization: Bearer

當(dāng)跨域時(shí),也可以將JWT被放置于POST請(qǐng)求的數(shù)據(jù)主體中船逮。

5. JWT問(wèn)題和趨勢(shì)

1顾腊、JWT默認(rèn)不加密,但可以加密挖胃。生成原始令牌后杂靶,可以使用改令牌再次對(duì)其進(jìn)行加密。

2酱鸭、當(dāng)JWT未加密方法是吗垮,一些私密數(shù)據(jù)無(wú)法通過(guò)JWT傳輸。

3凹髓、JWT不僅可用于認(rèn)證烁登,還可用于信息交換。善用JWT有助于減少服務(wù)器請(qǐng)求數(shù)據(jù)庫(kù)的次數(shù)蔚舀。

4饵沧、JWT的最大缺點(diǎn)是服務(wù)器不保存會(huì)話(huà)狀態(tài),所以在使用期間不可能取消令牌或更改令牌的權(quán)限赌躺。也就是說(shuō)狼牺,一旦JWT簽發(fā),在有效期內(nèi)將會(huì)一直有效礼患。

5是钥、JWT本身包含認(rèn)證信息掠归,因此一旦信息泄露,任何人都可以獲得令牌的所有權(quán)限悄泥。為了減少盜用虏冻,JWT的有效期不宜設(shè)置太長(zhǎng)。對(duì)于某些重要操作弹囚,用戶(hù)在使用時(shí)應(yīng)該每次都進(jìn)行進(jìn)行身份驗(yàn)證厨相。

6、為了減少盜用和竊取余寥,JWT不建議使用HTTP協(xié)議來(lái)傳輸代碼领铐,而是使用加密的HTTPS協(xié)議進(jìn)行傳輸悯森。

未完待續(xù)K蜗稀!瓢姻!

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 序言:七十年代末祝蝠,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子幻碱,更是在濱河造成了極大的恐慌绎狭,老刑警劉巖,帶你破解...
    沈念sama閱讀 211,817評(píng)論 6 492
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件褥傍,死亡現(xiàn)場(chǎng)離奇詭異儡嘶,居然都是意外死亡,警方通過(guò)查閱死者的電腦和手機(jī)恍风,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,329評(píng)論 3 385
  • 文/潘曉璐 我一進(jìn)店門(mén)蹦狂,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái),“玉大人朋贬,你說(shuō)我怎么就攤上這事凯楔。” “怎么了锦募?”我有些...
    開(kāi)封第一講書(shū)人閱讀 157,354評(píng)論 0 348
  • 文/不壞的土叔 我叫張陵摆屯,是天一觀的道長(zhǎng)。 經(jīng)常有香客問(wèn)我糠亩,道長(zhǎng)虐骑,這世上最難降的妖魔是什么? 我笑而不...
    開(kāi)封第一講書(shū)人閱讀 56,498評(píng)論 1 284
  • 正文 為了忘掉前任赎线,我火速辦了婚禮廷没,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘氛驮。我一直安慰自己腕柜,他們只是感情好,可當(dāng)我...
    茶點(diǎn)故事閱讀 65,600評(píng)論 6 386
  • 文/花漫 我一把揭開(kāi)白布。 她就那樣靜靜地躺著盏缤,像睡著了一般砰蠢。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上唉铜,一...
    開(kāi)封第一講書(shū)人閱讀 49,829評(píng)論 1 290
  • 那天台舱,我揣著相機(jī)與錄音,去河邊找鬼潭流。 笑死竞惋,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的灰嫉。 我是一名探鬼主播拆宛,決...
    沈念sama閱讀 38,979評(píng)論 3 408
  • 文/蒼蘭香墨 我猛地睜開(kāi)眼,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼讼撒!你這毒婦竟也來(lái)了浑厚?” 一聲冷哼從身側(cè)響起,我...
    開(kāi)封第一講書(shū)人閱讀 37,722評(píng)論 0 266
  • 序言:老撾萬(wàn)榮一對(duì)情侶失蹤根盒,失蹤者是張志新(化名)和其女友劉穎钳幅,沒(méi)想到半個(gè)月后,有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體炎滞,經(jīng)...
    沈念sama閱讀 44,189評(píng)論 1 303
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡敢艰,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 36,519評(píng)論 2 327
  • 正文 我和宋清朗相戀三年,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了册赛。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片钠导。...
    茶點(diǎn)故事閱讀 38,654評(píng)論 1 340
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡,死狀恐怖击奶,靈堂內(nèi)的尸體忽然破棺而出辈双,到底是詐尸還是另有隱情,我是刑警寧澤柜砾,帶...
    沈念sama閱讀 34,329評(píng)論 4 330
  • 正文 年R本政府宣布湃望,位于F島的核電站,受9級(jí)特大地震影響痰驱,放射性物質(zhì)發(fā)生泄漏证芭。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 39,940評(píng)論 3 313
  • 文/蒙蒙 一担映、第九天 我趴在偏房一處隱蔽的房頂上張望废士。 院中可真熱鬧,春花似錦蝇完、人聲如沸官硝。這莊子的主人今日做“春日...
    開(kāi)封第一講書(shū)人閱讀 30,762評(píng)論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)氢架。三九已至傻咖,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間岖研,已是汗流浹背卿操。 一陣腳步聲響...
    開(kāi)封第一講書(shū)人閱讀 31,993評(píng)論 1 266
  • 我被黑心中介騙來(lái)泰國(guó)打工, 沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留孙援,地道東北人害淤。 一個(gè)月前我還...
    沈念sama閱讀 46,382評(píng)論 2 360
  • 正文 我出身青樓,卻偏偏與公主長(zhǎng)得像拓售,于是被迫代替她去往敵國(guó)和親窥摄。 傳聞我的和親對(duì)象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 43,543評(píng)論 2 349