介绍JWT
在本文中,将解释JSON Web Tokens(JWT)的基本原理,以及为什么使用它们。 JWT是确保应用程序中的信任和安全性的重要部分。 JWT允许以安全的方式表示诸如用户数据的声明。
为了解释JWT如何工作,让我们从JWT的抽象定义(RFC 7519)开始。
JSON Web Token (JWT) is a compact, URL-safe means of representing
claims to be transferred between two parties. The claims in a JWT
are encoded as a JSON object that is used as the payload of a JSON
Web Signature (JWS) structure or as the plaintext of a JSON Web
Encryption (JWE) structure, enabling the claims to be digitally
signed or integrity protected with a Message Authentication Code
(MAC) and/or encrypted.
一个令牌就像这样:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
令牌中包含了三个部分:
** header.claims.signature** (也有写成 ** header.payload.signature**的,意思是一样的。)
Header
header 部分是一个简单的声明对象,这个声明包括 signature 使用的算法.
{
"alg" : "AES256",
"typ" : "JWT"
}
Claims
Cliams 也有称之为Payloads,是存放有效信息的地方。这个部分包含了业务中的所有的信息,用户可以任意自定义,但是要避免过于复杂或者太多的Claims影响性能。
标准中注册的声明 (建议但不强制使用) :
- iss: jwt签发者
- sub: jwt所面向的用户
- aud: 接收jwt的一方
- exp: jwt的过期时间,这个过期时间必须要大于签发时间
- nbf: 定义在什么时间之前,该jwt都是不可用的.
- iat: jwt的签发时间
- jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
我们看看下面的示例:
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
Signature
Header和Claims使用的是base64编码,任何一个人都可以使用工具进行 编码 和 解码,所以,在设计JWT时,不应该在Cliams(声明)里面加入任何敏感的数据,如用户密码之类。
Signature 的主要目的是保护 Header 和 Claims 部分不能被篡改,一般的做法就是使用 hash 算法生成一个签名。这个只要保证服务器端的私有 key 是一致的,且不被泄露,就能保证这个 Claims 部分的信息是可信的。如下图部分,API Server通过检查JWT,即可以验证Token的真伪,无需再与Auth Server进行通信验证。
JWT 的适用范围和优点
JWT 非常适用于分布式的无状态 API 服务器鉴权。
优点:
- 开发简单
- 不需要 cookie
- 使用了对移动端友好的 JSON 格式
- 不依赖于登陆服务器
- 概念简单容易理解
