javascript
10分钟了解JSON Web令牌(JWT)
JSON Web Token(JWT)是目前最流行的跨域身份驗(yàn)證解決方案。蟲蟲今天給大家介紹JWT的原理和用法。
1.跨域身份驗(yàn)證
Internet服務(wù)無法與用戶身份驗(yàn)證分開。一般過程如下。
1.用戶向服務(wù)器發(fā)送用戶名和密碼。
2.驗(yàn)證服務(wù)器后,相關(guān)數(shù)據(jù)(如用戶角色,登錄時(shí)間等)將保存在當(dāng)前會(huì)話中。
3.服務(wù)器向用戶返回session_id,session信息都會(huì)寫入到用戶的Cookie。
4.用戶的每個(gè)后續(xù)請(qǐng)求都將通過在Cookie中取出session_id傳給服務(wù)器。
5.服務(wù)器收到session_id并對(duì)比之前保存的數(shù)據(jù),確認(rèn)用戶的身份。
?
?
這種模式最大的問題是,沒有分布式架構(gòu),無法支持橫向擴(kuò)展。如果使用一個(gè)服務(wù)器,該模式完全沒有問題。但是,如果它是服務(wù)器群集或面向服務(wù)的跨域體系結(jié)構(gòu)的話,則需要一個(gè)統(tǒng)一的session數(shù)據(jù)庫(kù)庫(kù)來保存會(huì)話數(shù)據(jù)實(shí)現(xiàn)共享,這樣負(fù)載均衡下的每個(gè)服務(wù)器才可以正確的驗(yàn)證用戶身份。
例如蟲蟲舉一個(gè)實(shí)際中常見的單點(diǎn)登陸的需求:站點(diǎn)A和站點(diǎn)B提供同一公司的相關(guān)服務(wù)。現(xiàn)在要求用戶只需要登錄其中一個(gè)網(wǎng)站,然后它就會(huì)自動(dòng)登錄到另一個(gè)網(wǎng)站。怎么做?
一種解決方案是聽過持久化session數(shù)據(jù),寫入數(shù)據(jù)庫(kù)或文件持久層等。收到請(qǐng)求后,驗(yàn)證服務(wù)從持久層請(qǐng)求數(shù)據(jù)。該解決方案的優(yōu)點(diǎn)在于架構(gòu)清晰,而缺點(diǎn)是架構(gòu)修改比較費(fèi)勁,整個(gè)服務(wù)的驗(yàn)證邏輯層都需要重寫,工作量相對(duì)較大。而且由于依賴于持久層的數(shù)據(jù)庫(kù)或者問題系統(tǒng),會(huì)有單點(diǎn)風(fēng)險(xiǎn),如果持久層失敗,整個(gè)認(rèn)證體系都會(huì)掛掉。
?
?
本文蟲蟲給大家介紹另外一種靈活的解決方案,通過客戶端保存數(shù)據(jù),而服務(wù)器根本不保存會(huì)話數(shù)據(jù),每個(gè)請(qǐng)求都被發(fā)送回服務(wù)器。 JWT是這種解決方案的代表。
?
?
2. JWT的原則
JWT的原則是在服務(wù)器身份驗(yàn)證之后,將生成一個(gè)JSON對(duì)象并將其發(fā)送回用戶,如下所示。
{
"UserName": "Chongchong",
"Role": "Admin",
"Expire": "2018-08-08 20:15:56"
}
之后,當(dāng)用戶與服務(wù)器通信時(shí),客戶在請(qǐng)求中發(fā)回JSON對(duì)象。服務(wù)器僅依賴于這個(gè)JSON對(duì)象來標(biāo)識(shí)用戶。為了防止用戶篡改數(shù)據(jù),服務(wù)器將在生成對(duì)象時(shí)添加簽名(有關(guān)詳細(xì)信息,請(qǐng)參閱下文)。
服務(wù)器不保存任何會(huì)話數(shù)據(jù),即服務(wù)器變?yōu)闊o狀態(tài),使其更容易擴(kuò)展。
3. JWT的數(shù)據(jù)結(jié)構(gòu)
典型的,一個(gè)JWT看起來如下圖。
?
?
改對(duì)象為一個(gè)很長(zhǎng)的字符串,字符之間通過"."分隔符分為三個(gè)子串。注意JWT對(duì)象為一個(gè)長(zhǎng)字串,各字串之間也沒有換行符,此處為了演示需要,我們特意分行并用不同顏色表示了。每一個(gè)子串表示了一個(gè)功能塊,總共有以下三個(gè)部分:
JWT的三個(gè)部分如下。JWT頭、有效載荷和簽名,將它們寫成一行如下。
?
?
我們將在下面介紹這三個(gè)部分。
3.1 JWT頭
JWT頭部分是一個(gè)描述JWT元數(shù)據(jù)的JSON對(duì)象,通常如下所示。
{
"alg": "HS256",
"typ": "JWT"
}
在上面的代碼中,alg屬性表示簽名使用的算法,默認(rèn)為HMAC SHA256(寫為HS256);typ屬性表示令牌的類型,JWT令牌統(tǒng)一寫為JWT。
最后,使用Base64 URL算法將上述JSON對(duì)象轉(zhuǎn)換為字符串保存。
3.2 有效載荷
有效載荷部分,是JWT的主體內(nèi)容部分,也是一個(gè)JSON對(duì)象,包含需要傳遞的數(shù)據(jù)。 JWT指定七個(gè)默認(rèn)字段供選擇。
iss:發(fā)行人
exp:到期時(shí)間
sub:主題
aud:用戶
nbf:在此之前不可用
iat:發(fā)布時(shí)間
jti:JWT ID用于標(biāo)識(shí)該JWT
除以上默認(rèn)字段外,我們還可以自定義私有字段,如下例:
{
"sub": "1234567890",
"name": "chongchong",
"admin": true
}
請(qǐng)注意,默認(rèn)情況下JWT是未加密的,任何人都可以解讀其內(nèi)容,因此不要構(gòu)建隱私信息字段,存放保密信息,以防止信息泄露。
JSON對(duì)象也使用Base64 URL算法轉(zhuǎn)換為字符串保存。
3.3簽名哈希
簽名哈希部分是對(duì)上面兩部分?jǐn)?shù)據(jù)簽名,通過指定的算法生成哈希,以確保數(shù)據(jù)不會(huì)被篡改。
首先,需要指定一個(gè)密碼(secret)。該密碼僅僅為保存在服務(wù)器中,并且不能向用戶公開。然后,使用標(biāo)頭中指定的簽名算法(默認(rèn)情況下為HMAC SHA256)根據(jù)以下公式生成簽名。
HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),
secret)
在計(jì)算出簽名哈希后,JWT頭,有效載荷和簽名哈希的三個(gè)部分組合成一個(gè)字符串,每個(gè)部分用"."分隔,就構(gòu)成整個(gè)JWT對(duì)象。
3.4 Base64URL算法
如前所述,JWT頭和有效載荷序列化的算法都用到了Base64URL。該算法和常見Base64算法類似,稍有差別。
作為令牌的JWT可以放在URL中(例如api.example/?token=xxx)。 Base64中用的三個(gè)字符是"+","/"和"=",由于在URL中有特殊含義,因此Base64URL中對(duì)他們做了替換:"="去掉,"+"用"-"替換,"/"用"_"替換,這就是Base64URL算法,很簡(jiǎn)單把。
4. JWT的用法
客戶端接收服務(wù)器返回的JWT,將其存儲(chǔ)在Cookie或localStorage中。
此后,客戶端將在與服務(wù)器交互中都會(huì)帶JWT。如果將它存儲(chǔ)在Cookie中,就可以自動(dòng)發(fā)送,但是不會(huì)跨域,因此一般是將它放入HTTP請(qǐng)求的Header Authorization字段中。
Authorization: Bearer
當(dāng)跨域時(shí),也可以將JWT被放置于POST請(qǐng)求的數(shù)據(jù)主體中。
5. JWT問題和趨勢(shì)
1、JWT默認(rèn)不加密,但可以加密。生成原始令牌后,可以使用改令牌再次對(duì)其進(jìn)行加密。
2、當(dāng)JWT未加密方法是,一些私密數(shù)據(jù)無法通過JWT傳輸。
3、JWT不僅可用于認(rèn)證,還可用于信息交換。善用JWT有助于減少服務(wù)器請(qǐng)求數(shù)據(jù)庫(kù)的次數(shù)。
4、JWT的最大缺點(diǎn)是服務(wù)器不保存會(huì)話狀態(tài),所以在使用期間不可能取消令牌或更改令牌的權(quán)限。也就是說,一旦JWT簽發(fā),在有效期內(nèi)將會(huì)一直有效。
5、JWT本身包含認(rèn)證信息,因此一旦信息泄露,任何人都可以獲得令牌的所有權(quán)限。為了減少盜用,JWT的有效期不宜設(shè)置太長(zhǎng)。對(duì)于某些重要操作,用戶在使用時(shí)應(yīng)該每次都進(jìn)行進(jìn)行身份驗(yàn)證。
6、為了減少盜用和竊取,JWT不建議使用HTTP協(xié)議來傳輸代碼,而是使用加密的HTTPS協(xié)議進(jìn)行傳輸。
總結(jié)
以上是生活随笔為你收集整理的10分钟了解JSON Web令牌(JWT)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 深入了解Token认证的来龙去脉
- 下一篇: JSON、Protobuf、Thrift