引言
在上篇文章中,我们介绍了什么是JWT(JSON Web Token) 以及他的简单应用,本文主要探究的是在IM系统中利用JWT解决Socket长连接身份安全认真的问题,主要参考了《用JWT技术解决IM系统Socket长连接的身份认证痛点》。
要解决什么问题
首先,整个通信过程如图下所示:
系统通信过程
整个认证过程步骤为:
- 用户登陆App,App从服务端获取到SSO(即单点登陆)系统生成的token;
- 当App需要使用IM功能时, 将Token传给IM服务端SDK;
- 客户端和IM服务端进行身份认证;
- IM系统请求SSO确认token的合法性,然后创建长链接。
问题在于, 当网络不稳定的时候,移动端应用这一场景尤为明显。长连接会被频繁的释放和重连,这样就造成了上图的3 4两步会被频繁的执行,从而导致SSO系统压力加剧,况且还有额外的通信时间损耗,用户体验也不尽人意。
怎样应用JWT
如何利用JWT解决上面的痛点呢?
升级后通信过程
如上图所示,整个验证过程为:
- 用户登陆App,app从业务服务端获取SSO颁发的token(这里的token并不是JWT)
- 当App需要使用IM时,将token传给IM客户端SDK
- IM客户端SDK将token发送到后台的JWT模块,获取JWT
- 收到3中提交过来的token后,会请求SSO验证token的合法性,如果合法,再用跟IM服务端约定好的密钥来签发真正的JWT,最终返回给客户端SDK,完成第3步中的请求。
- 最终,IM客户端SDK利用得到的JWT请求IM服务端建立长连接,IM系统根据约定好的密钥与算法,即可完成身份验证,建立链接。
这样以来,连接断开时,仅仅需要重复步骤5就可以重新建立链接,problems solved!
JWT 的缺点
虽然JWT十分应用,但也有不少缺点,选择JWT时应该权衡这些优缺点
- JWT服务端不会保存会话状态,所以不能主动使其失效,一旦签发,过期前将会一直有效。
- JWT中的header和payload都是可以反向解码的,因此如果被盗取,其中的信息也就泄露了,所以不应该将敏感信息写入JWT,并且要设置合理的过期时间。
因为以上原因,JWT一般基于HTTPS通信来保障其安全性,不建议使用明文传输的HTTP。
网友评论