带你了解JWT
@TOC
什么是JWT
JWT就是Json web token ,JWT是一种基于Json的开放标准(RFC 7519)。
是为了在网络应用环境中传递而声明的标准
定义了一种紧凑安全的JSON对象,且存在数字签名,是安全的
是一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范,经常用在跨域身份验证。
认证方式
在JWT之前,我们用过Sssion来进行认证,也使用过Token认证。那么这两种认证是怎么来实现的呢?
我们都是知道,在http协议是一种无状态的协议,所以当用户提供登录信息进行登录认证后,第二次在进行请求时,用户必须再次进行认证才行,因为http是无状态的,所以不知道用户的请求。
Session认证
所以为了知道用户的请求,我们必须在服务器存储一份用户的信息,这个用户信息在响应时会返回给浏览器,让其存入cookie中,下次请求带上,服务器就知道是那个用户的请求了,这就是session认证。
每个用户在认证后,都会在服务端做一次记录,通常session都是保存在内存中,所以用户增加时,服务器的开销也意味着增大。
而用户认证后,服务段做了记录,如果记录在内存中存储,就意味用户下次请求也必须在这台服务器上才可以拿到认证信息,如果在分布式应用中,会限制负载均衡,也就限制了应用的扩展能力。
Token认证
token也是无状态的,他是再认证之后生成一份token,这份token保留字在用户手中,当用户需要认真的时候,将token给予服务器,服务器来验证这个tokn,来检查token是否合法。
JWT认证
JWT简述
客户端在认证后,服务器会生成带有签名的JWT数据,返回给客户端,客户端将JWT数据保留起来,在以后的请求中将JWT数据和请求内容一起发给服务器,服务器对JWT数据进行验证,验证不通过则不返回数据。JWT在服务端不会保存任何信息。服务容易扩展
JWT构成
JWT由三部分构成,它们之间用圆点(.)连接。分别是:
-
Header(头部)
-
Payload(载荷)
-
Signature(签证)
第一部分我们称它为头部(header) 第二部分我们称其为载荷(payload,类似货车上承载的货物) 第三部分是签证(signature) 因此标准格式就是: hhhhhh.pppppppp.ssssss
头部(Header)
头部是对JWT基本信息的描述。由两个经典部分组成,一个是类型,一个是签名算法(HMAC SHA256或者RSA等等)。
例如:
{
'alg': "HS256",
'typ': "JWT"
}
然后将头部的Json进行base64加密(该加密是可以对称解密的),构成了第一部分.
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 (加密后的值)
载荷(playload)
playload是JWT的第二部分,它存放了有效的信息,这些信息也是由三部分构成
- 标准中注册的声明
- 公共的声明
- 私有的声明
标准中注册的声明 (建议但不强制使用)
- iss: jwt签发者
- sub: jwt所面向的用户
- aud: 接收jwt的一方
- exp: jwt的过期时间,这个过期时间必须要大于签发时间
- nbf: 定义在什么时间之前,该jwt都是不可用的.
- iat: jwt的签发时间
- jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
公共的声明
公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.
私有的声明
私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。
playload例如:
{
"sub": '123456789',
"name": 'test',
"admin":true
}
然后将其进行base64加密,得到Jwt的第二部分。
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9
签证(signature)
JWT的第三部分是一个签证信息,信息由三个部分组成,header (base64后的),payload (base64后的),secret(盐值),为了得到签名部分,你必须有编码后的header、payload、盐值,header中指定的算法,然对它们签名即可。
JWT认证流程图