美文网首页程序员技术干货
JWT安全验证常见疑问解答

JWT安全验证常见疑问解答

作者: offbye西涛 | 来源:发表于2016-07-05 13:07 被阅读8199次

    最近做基于BFF架构的分布式移动端API接口的系统设计。工作过程中发现有些工程师对JWT安全验证的认识存在一些偏差,重复讲解实在太麻烦了,在这里把关于JWT常见的一些疑问统一回答下吧。

    1. 什么是JWT?

    JSON Web Token (JWT)是一种基于 token 的认证方案。
    JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.
    简单的说,JWT就是一种Token的编码算法,服务器端负责根据一个密码和算法生成Token,然后发给客户端,客户端只负责后面每次请求都在HTTP header里面带上这个Token,服务器负责验证这个Token是不是合法的,有没有过期等,并可以解析出subject和claim里面的数据。

    注意JWT里面的数据是BASE64编码的,没有加密,因此不要放如敏感数据。

    可以通过https://jwt.io/这个网站对JWT Token进行解析。

    一个JWT token 看起来是这样的:

    eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjEzODY4OTkxMzEsImlzcyI6ImppcmE6MTU0ODk1OTUiLCJxc2giOiI4MDYzZmY0Y2ExZTQxZGY3YmM5MGM4YWI2ZDBmNjIwN2Q0OTFjZjZkYWQ3YzY2ZWE3OTdiNDYxNGI3MTkyMmU5IiwiaWF0IjoxMzg2ODk4OTUxfQ.uKqU9dTB6gKwG6jQCuXYAiMNdfNRw98Hw_IWuA5MaMo
    

    可以简化为下面这样的结构:

    base64url_encode(Header) + '.' + base64url_encode(Claims) + '.' + base64url_encode(Signature)
    
    1. 为什么用JWT?

    JWT只通过算法实现对Token合法性的验证,不依赖数据库,Memcached的等存储系统,因此可以做到跨服务器验证,只要密钥和算法相同,不同服务器程序生成的Token可以互相验证。

    1. JWT Token需要持久化在Memcached中吗?
      不应该这样做,这样就背离了JWT通过算法验证的初心。

    2. 在退出登录时怎样实现JWT Token失效呢?
      退出登录, 只要客户端端把Token丢弃就可以了,服务器端不需要废弃Token。

    3. 怎样保持客户端长时间保持登录状态?

    服务器端提供刷新Token的接口, 客户端负责按一定的逻辑刷新服务器Token。

    1. 服务器端是否应该从JWT中取出userid用于业务查询?

    REST API是无状态的,意味着服务器端每次请求都是独立的,即不依赖以前请求的结果,因此也不应该依赖JWT token做业务查询, 应该在请求报文中单独加个userid 字段。
    为了做用户水平越权的检查,可以在业务层判断传入的userid和从JWT token中解析出的userid是否一致, 有些业务可能会允许查不同用户的数据。

    1. JWT 在Java项目中如何实现?

    生成Token

    
          String token = Jwts.builder().setSubject(userId)
                  .setExpiration(new Date(System.currentTimeMillis() + Constant.TOKEN_EXP_TIME))
                  .claim("roles", Constant.USER_TYPE_EMP).setIssuedAt(new Date())
                  .signWith(SignatureAlgorithm.HS256, Constant.JWT_SECRET).compact();
          loginResponse.setToken(token);
    

    验证JWT Token

    
          final String authHeader = request.getHeader("Authorization");
    
         if (authHeader == null || !authHeader.startsWith("Bearer ")) {
            log.debug("no Authorization ", e);
             return;
         } else {
             try {
                 final String token = authHeader.substring(7); // The part after "Bearer "
                 log.debug("token " + token);
    
                 final Claims claims = Jwts.parser().setSigningKey(Constant.JWT_SECRET)
                         .parseClaimsJws(token).getBody();
                 log.debug(claims.toString());
             } catch (Exception e) { //包含超时,签名错误等异常
    
                 log.debug("JWT Exception", e);
                 return;
             }
         }
    
    

    注意客户端发送的Authorization HTTP HEADER格式是 "Bearer YOUR_JWT_TOKEN",这是OAuth的规范规定的。

    相关文章

      网友评论

        本文标题:JWT安全验证常见疑问解答

        本文链接:https://www.haomeiwen.com/subject/lophjttx.html