1.JWT(JSON Web Token)
JSON Web Token (缩写JWT) 是目前最流行的跨域认证解决方案。
1.1、 跨域认证问题
互联网服务离不开用户认证。一般流程如下:
1、 用户向服务器发送用户名和密码。
2、 服务器通过验证后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等。
3、 服务器向用户返回一个session_id,写入用户的cookie。
4、 用户随后的每一次请求,都会通过Cookie,将session_id传回服务器。
5、 服务器收到session_id,找到前期保存到的数据,由此得知用户的身份。
这种模式的问题在于:
扩展性不好,单机虽然没有问题,但是如果是服务器集群,或者是跨域的服务导向架构,就要求session数据共享,每台服务器都要能读取session。
解决方案:
A、 session 持久化,写入数据库或者别的持久层。各种服务收到请求后,都向持久层请求数据。这种方案的有点就是架构清晰,缺点是工程量比较大。另外持久层万一挂了,就会单点失败。
B、 另一种方案是服务器索性不保存session数据了,所有数据都保存在客户端,每次请求都发回服务器。JWT就是这种方案的一个代表。
1.2、JWT的原理
即服务器认证后,生成一个JSON对象,发回给用户。
以后,用户与服务器通信的时候,都要发回这个JSON对象,服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名。
这样服务器就不会保存任何session数据,服务器就变成无状态了,从而比较容易实现扩展
1.3、JWT数据结构
JWT是由三个部分组成:
- Header(头部)
- Payload(负载)
- Signature(签名)
Header 部分是一个JSON对象,描述JWT的元数据。
Payload 部分也是一个JSON对象,用来存放实际需要传递的数据。JWT规定了7个官方字段,供选用。
注意,JWT默认是不加密的,任何人都可以读到,所以不要吧秘密信息放在PayLoad。
Signature 是对前两个部分的签名,防止篡改数据。首先需要指定一个密匙,这个密匙只有服务器才知道,不能泄露给用户,然后使用Header里面指定的签名算法(默认是HMACSHA256)
HMACSHA256(
base64UrlEncode(header) + “.” +
base64UrlEncode(payload),
secret
)
算出签名后,把Header、Payload、Signature三个部分拼成一个字符串,每个部分之间用(.)分隔,返回给用户。
JWT的使用方式
客户端收到服务器返回的JWT,可以存储在Cookie里面,也可以存储在localStorage。
此后,客户端每次与服务器通信,都要带上这个JWT。也可以把他放在Cookie里面自动发送,但是这样不能跨域,所以更好的做法是放在HTTP请求的头信息Authorization(权限认证)字段里面。
1.4、JWT的几个特点
1、 JWT默认是不加密的,但也是可以加密的。生成原始Token以后,可以用密钥再加密一次。
2、 JWT不加密的情况下,不能将秘密数据写入JWT.
3、 JWT不仅可以用于认证,也可以用户交换信息。有效使用JWT,可以降低服务器查询数据库的次数。
4、 JWT的最大缺点是,由于服务器不保存session状态,因此无法在使用过程中废止某个token,或者更改token的权限。也就是说一旦JWT签发了,在到期之前都会始终有效,除非服务器部署额外的逻辑。
5、 JWT本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT的有效期应该设置的比较短。对于一些重要的权限,使用时应该再次对用户进行认证。
6、 为了减少盗用,JWT不应该使用HTTP协议明码传输,要使用HTTPS协议传输。
网友评论