定义
JWT (JSON WEB TOKEN) 是一种安全通讯标准,它定义了一种紧凑自包含的方式,用于在各方之间安全的传输 JSON 对象。常见应用场景是API之间的认证通讯。
一般的用户认证流程
1、请求方发送账户密码到服务器,验证账户可用性。
2、验证成功,生成 session,保存在服务端。
3、服务端返回一个 session ID, 保存在客户端 cookie 中。
4、客户端请求时携带 cookie。
5、服务器解析 cookie 中携带的 session ID,验证通过后返回响应数据。
以上流程核心是基于 session 进行状态管理,这样的认证方案有以下问题:
1、客户端如果禁用 cookie,将无法维持请求的身份验证状态。
2、分布式部署的环境中,需要考虑多机 session 的一致性。
3、请求会产生跨域问题。
JWT 原理
服务器和客户端之间的通讯信息完全采用 json 传递,不需要使用 session 进行状态维持。
- JWT 的格式包含三个部分
1、头部(Header),描述 JWT 的元数据,通常由令牌类型和加密用到签名算法组成,例如
{
"alg": "HS256", #加密方式
"typ": "JWT" #令牌类型
}
2、载荷(Payload),信息传输的主要内容,包含
- 注册信息,包含 iss(发出者),exp(到期时间),sub(主题),aud(受众)
- 公共信息,官方定义的其它的字段,因为 JWT 默认不是加密的,任何人都可以读取到公共信息,所以不要把敏感数据放到这里
- 私有信息,平台间协定的私有字段
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
3、签名(Signature),根据头部和载荷,加盐后根据头部指定算法生成
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
头部和载荷根据算法 Base64URL 进行转换,结合签名按顺序以”.“拼接形成 JWT 。
jwt.png
JWT 的用法
当客户端根据凭证成功登陆时,服务器将返回 JWT,客户端每次访问都应该携带 JWT,可以将放入cookie,但存在跨域问题,好的解决方式是加入 HTTP 请求头 Authorization 中
Authorization: Bearer <token>
JWT 的特点
1、JWT 脱离了 session 的束缚,服务端不需要再维持 session 状态,但也无法控制 token 的状态了,JWT 一旦签发,在到期之前始终有效,除非服务器有额外的验证逻辑。
2、JWT 可以很方便的支持跨域。
3、JWT 本身包含了验证信息,如果发生泄漏,任何人都可以使用令牌的权限进行请求。
4、JWT 本身不加密,需要通过更安全的 HTTPS 协议传输。
网友评论