美文网首页
JWT简单介绍

JWT简单介绍

作者: 哈哈007_229c | 来源:发表于2018-03-07 11:06 被阅读0次

    1.背景介绍

    传统身份验证的方法

    HTTP 是一种没有状态的协议,也就是它并不知道是谁是访问应用。

    当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID 号发送给客户端,客户端收到以后把这个 ID 号存储在 Cookie里,下次这个用户再向服务端发送请求的时候,可以带着这个Cookie,这样服务端会验证一个这个 Cookie里的信息,看看能不能在服务端这里找到对应的记录,如果可以,说明用户已经通过了身份验证,就把用户请求的数据返回给客户端。(Session)

    2.知识剖析

    基于 Token 的身份验证方法

    使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。

    Token身份验证基本流程

    1). 客户端使用用户名跟密码请求登录

    2). 服务端收到请求,去验证用户名与密码

    3). 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端

    4). 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里

    5). 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token

    6). 服务端收到请求,然后去验证客户端请求里面带着的Token,如果验证成功,就向客户端返回请求的数据

    JWT——实施验证Token的标准方法

    JWT 标准的 Token 有三个部分:

    header

    payload

    signature

    eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

                .eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5N

            TU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ

        .SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

    header 部分

    1、 Token 的类型

    2、 使用的算法

    {

                    "typ": "JWT",

                    "alg": "HS256"

                    }

    eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

    Payload 部分(载荷)

    1、 sub: 该JWT所面向的用户

    2、 iss: 该JWT的签发者

    3、 iat(issued at): 在什么时候签发的token

    4、 exp(expires): token什么时候过期

    5、 nbf(not before):token在此时间之前不能被接收处理

    6、 jti:JWT ID为web token提供唯一标识

    Signature 部分(签名)

    1、 用 Base64 编码的 header.payload

    2、 加密算法加密(将密钥存储在服务端)

    3.编码实战

    4.常见问题&更多讨论

    1、 用户匹配

    服务端在生成token时,加入少量的用户信息,比如用户的id。服务端接收到token之后,可以解析出这些数据,从而将token和用户关联了起来。

    2、 防伪造

    建议放入token的数据是不敏感的数据,这样只要服务端使用私钥对数据生成签名,然后和数据拼接起来,作为token的一部分即可

    基于加密的算法,对数据进行加密,把加密的结果作为token

    3、 防冒充

    1) 加干扰码

    服务端在生成token时,使用了客户端的UA作为干扰码对数据加密,客户端进行请求时,会同时传入token、UA,服务端使用UA对token解密,从而验证用户的身份。

    2) 有效期

    给token加上有效期,即使被冒充也只是在一定的时间段内有效。每次服务端接收到请求,解析token之后,判断是否已过期,如果过期就拒绝服务。

    4.什么是UA

    User Agent中文名为用户代理,简称 UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。

    一些网站常常通过判断 UA 来给不同的操作系统、不同的浏览器发送不同的页面,因此可能造成某些页面无法在某个浏览器中正常显示,但通过伪装 UA 可以绕过检测。

    5.参考文献

    【转】Token:服务端身份验证的流行方案

    【转】基于 Token 的身份验证

    【转】什么是 JWT -- JSON WEB TOKEN

    相关文章

      网友评论

          本文标题:JWT简单介绍

          本文链接:https://www.haomeiwen.com/subject/jwjwxftx.html