基于JWT的身份认证学习笔记
JSON Web Token(縮寫JWT)是目前最流行的跨域認證解決方案。
一、跨域認證的問題
互聯網服務離不開用戶認證。一般流程是下面這樣。
1、用戶向服務器發送用戶名和密碼。
2、服務器驗證通過后,在當前對話(session)里面保存相關數據,比如用戶角色、登錄時間等等。
3、服務器向用戶返回一個session_id,寫入用戶的 Cookie。
4、用戶隨后的每一次請求,都會通過 Cookie,將 sessionid 傳回服務器。
5、服務器收到session_id,找到前期保存的數據,由此得知用戶的身份。
這種模式的問題在于,擴展性(scaling)不好。單機當然沒有問題,如果是服務器集群,或者是跨域的服務導向架構,就要求 session數據共享,每臺服務器都能夠讀取session。
舉例來說,A網站和B網站是同一家公司的關聯服務。現在要求,用戶只要在其中一個網站登錄,再訪問另一個網站就會自動登錄,請問怎么實現?
一種解決方案是session數據持久化,寫入數據庫或別的持久層。各種服務收到請求后,都向持久層請求數據。這種方案的優點是架構清晰,缺點是工程量比較大。另外,持久層萬一掛了,就會單點失敗。
另一種方案是服務器索性不保存 session數據了,所有數據都保存在客戶端,每次請求都發回服務器。JWT就是這種方案的一個代表。
二、JWT原理
JWT的原理是,服務器認證以后,生成一個JSON對象,發回給用戶,就像下面這樣。
以后,用戶與服務端通信的時候,都要發回這個JSON對象。服務器完全只靠這個對象認定用戶身份。為了防止用戶篡改數據,服務器在生成這個對象的時候,會加上簽名(詳見后文)。
服務器就不保存任何 session數據了,也就是說,服務器變成無狀態了,從而比較容易實現擴展。
三、JWT 的數據結構
實際的JWT大概就像下面這樣。
它是一個很長的字符串,中間用點(.)分隔成三個部分。注意,JWT內部是沒有換行的,這里只是為了便于展示,將它寫成了幾行。
JWT的三個部分依次如下。
- Header(頭部)
- Payload(負載)
- Signature(簽名)
寫成一行,就是下面的樣子。
3.1 Header
Header 部分是一個JSON對象,描述JWT的元數據,通常是下面的樣子。
上面代碼中,a1g屬性表示簽名的算法(algorithm),默認是HMACSHA256
(寫成HS256);typ屬性表示這個令牌(token)的類型(type),JWT令牌統一寫為JWT。
最后,將上面的JSON對象使用Base64URL算法(詳見后文)轉成字符串。
3.2 Payload
Payload 部分也是一個JSON對象,用來存放實際需要傳遞的數據。JWT規定了7個官方字段,供選用。
- iss(issuer):簽發人
- exp(expiration time):過期時間
- sub(subject):主題
- aud(audience):受眾
- nbf(Not Before):生效時間
- iat(Issued At):簽發時間
- jti(JWTID):編號
除了官方字段,你還可以在這個部分定義私有字段,下面就是一個例子。
注意,JWT默認是不加密的,任何人都可以讀到,所以不要把秘密信息放在這個部分。
這個JSON對象也要使用Base64URL算法轉成字符串。
3.3 Signature
Signature部分是對前兩部分的簽名,防止數據篡改。
首先,需要指定一個密鑰(secret)。這個密鑰只有服務器才知道,不能泄露給用戶。然后,使用Header 里面指定的簽名算法(默認是HMACSHA256),按照下面的公式產生簽名。
算出簽名以后,把Header、Payload、Signature 三個部分拼成一個字符串,每個部分之間用“點”()分隔,就可以返回給用戶。
在JWT中,消息體是透明的,使用簽名可以保證消息不被篡改。但不能實現數據加密功能。
3.4 Base64URL
前面提到,Header和Payload 串型化的算法是Base64URL。這個算法跟Base64算法基本類似,但有一些小的不同。
JWT作為一個令牌(token),有些場合可能會放到URL(比如api.example.com/?token=xxx)。Base64有三個字符+、/和=,在URL里面有特殊含義,所以要被替換掉:=被省略、+替換成一,/替換成_。這就是Base64URL 算法。
四、JWT的使用方式
客戶端收到服務器返回的JWT,可以儲存在Cookie里面,也可以儲存在localStorage。
此后,客戶端每次與服務器通信,都要帶上這個JWT。你可以把它放在Cookie里面自動發送,但是這樣不能跨域,
所以更好的做法是放在HTTP請求的頭信息Authorization 字段里面。
另一種做法是,跨域的時候,JWT就放在POST請求的數據體里面。
五、JWT的幾個特點
(1)JWT默認是不加密,但也是可以加密的。生成原始Token以后,可以用密鑰再加密一次。
(2)JWT不加密的情況下,不能將秘密數據寫入JWT。
(3)JWT不僅可以用于認證,也可以用于交換信息。有效使用JWT,可以降低服務器查詢數據庫的次數。
(4)JWT的最大缺點是,由于服務器不保存session狀態,因此無法在使用過程中廢止某個token,或者更改token的權限。也就是說,一旦JWT簽發了,在到期之前就會始終有效,除非服務器部署額外的邏輯。
(5)JWT本身包含了認證信息,一旦泄露,任何人都可以獲得該令牌的所有權限。為了減少盜用,JWT的有效期應該設置得比較短。對于一些比較重要的權限,使用時應該再次對用戶進行認證。
(6)為了減少盜用,JWT 不應該使用 HTTP 協議明碼傳輸,要使用 HTTPS 協議傳輸。
六、JWT 的解決方案
https://jwt.io/
七、在 Node.js 中使用 JWT
推薦:https://github.com/auth0/node-jsonwebtoken。
參考鏈接
https://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html
https://jwt.io/
https://tools.ietf.org/html/rfc7519
https://www.cnkirito.moe/jwt-learn-3/
總結
以上是生活随笔為你收集整理的基于JWT的身份认证学习笔记的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: python网络爬虫系列(十)——chr
- 下一篇: 四、ajax请求超时与网络异常处理