JWT应用之socket长连接鉴权

引言

在上篇文章中，我们介绍了什么是JWT(JSON Web Token) 以及他的简单应用，本文主要探究的是在IM系统中利用JWT解决Socket长连接身份安全认真的问题，主要参考了《用JWT技术解决IM系统Socket长连接的身份认证痛点》。

要解决什么问题

首先，整个通信过程如图下所示：

系统通信过程

整个认证过程步骤为：

1. 用户登陆App，App从服务端获取到SSO（即单点登陆）系统生成的token；
2. 当App需要使用IM功能时， 将Token传给IM服务端SDK；
3. 客户端和IM服务端进行身份认证；
4. IM系统请求SSO确认token的合法性，然后创建长链接。

问题在于， 当网络不稳定的时候，移动端应用这一场景尤为明显。长连接会被频繁的释放和重连，这样就造成了上图的3 4两步会被频繁的执行，从而导致SSO系统压力加剧，况且还有额外的通信时间损耗，用户体验也不尽人意。

怎样应用JWT

如何利用JWT解决上面的痛点呢？

升级后通信过程

如上图所示，整个验证过程为：

1. 用户登陆App，app从业务服务端获取SSO颁发的token（这里的token并不是JWT）
2. 当App需要使用IM时，将token传给IM客户端SDK
3. IM客户端SDK将token发送到后台的JWT模块，获取JWT
4. 收到3中提交过来的token后，会请求SSO验证token的合法性，如果合法，再用跟IM服务端约定好的密钥来签发真正的JWT，最终返回给客户端SDK，完成第3步中的请求。
5. 最终，IM客户端SDK利用得到的JWT请求IM服务端建立长连接，IM系统根据约定好的密钥与算法，即可完成身份验证，建立链接。

这样以来，连接断开时，仅仅需要重复步骤5就可以重新建立链接，problems solved!

JWT 的缺点

虽然JWT十分应用，但也有不少缺点，选择JWT时应该权衡这些优缺点

1. JWT服务端不会保存会话状态，所以不能主动使其失效，一旦签发，过期前将会一直有效。
2. JWT中的header和payload都是可以反向解码的，因此如果被盗取，其中的信息也就泄露了，所以不应该将敏感信息写入JWT，并且要设置合理的过期时间。

因为以上原因，JWT一般基于HTTPS通信来保障其安全性，不建议使用明文传输的HTTP。