【JWT定义】
JSON Web Token(JWT)是一个开放的工业标准RFC 7519,是一个非常轻巧的规范。
【JWT用途】
这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息,在HTTP通信过程中,进行身份认证。
【为什么要身份认证】
HTTP通信是无状态的,如果不需要识别用户的浏览,客户端的请求到了服务端处理完之后就结束了。
但更多时候,是需要识别登录用户的,例如用户登录后浏览、购物车、下单、付款等一系列行为;
即使不登录的游客,系统也可能标记,需要对访问的客户端进行识别。
【常用身份认证方式:Session】
- 客户端在服务端登录成功之后,服务端会生成一个sessionID,缓存该session(会话),然后响应携带sessionID返回给客户端,客户端将sessionID保存到cookie中。
- 客户端再次发起请求的时候,携带cookie中的sessionID到服务端,服务端解析获取sessionID并与自身缓存匹配,就知道是哪个用户的请求。
常用的session解决方案,会遇到以下问题:
- session保存在服务端,当客户访问量增加时,服务端就需要存储大量的session会话,对服务器有很大的考验;
- 当服务端为集群时,用户登录其中一台服务器,会将session保存到该服务器的内存中,但是当用户的访问到其他服务器时,会无法访问。这个通常可以采用第三方分布式缓存等技术共享保存session,来解决该问题。
【另一种身份认证方式:JWT】
- 客户端通过用户名和密码登录服务器;
- 服务端对客户端身份进行验证;
- 服务端对该用户生成Token,返回给客户端;
- 客户端发起请求,需要携带该Token;
- 服务端收到请求后,首先验证Token,之后返回数据。
- 客户端将Token保存到本地浏览器,一般保存到cookie中。
与Session方案的区别是:
服务端不需要保存Token,只需要对Token中携带的信息进行验证即可;
无论客户端访问后台的那台服务器,只要可以通过用户信息的验证即可。
JWT 的原理是,
服务器认证以后,生成一个 JSON 对象,发回给用户,
例如:{ "姓名": "张三", "角色": "管理员", "到期时间": "2018年10月31日0点0分"}
以后,用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。
为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名signature(详见后文)。
这样服务器就可以不保存任何 session 数据了,也就是说,服务器变成无状态了,从而更容易实现扩展。
也可以理解session是消耗服务器内存存储的方式,JWT是消耗服务器CPU计算的方式。
【JWT组成】
JWT由3段信息组成:
- header信息
- payload信息
- signature信息
这3段信息分别base64URL编码后,用英文句号.分隔连在一起,组成JWT字符串。
header
header承担两部分信息:
- 声明令牌类型typ:固定填写JWT。
- 声明signature使用的加密算法alg:默认使用HMAC-SHA256(写为HS256)。
{
'typ': 'JWT',
'alg': 'HS256'
}
然后将header进行base64URL加密,组成JWT的第1段。
payload
payload是JWT存放有效信息的地方,包含3部分:
- 标准中注册声明 (建议但不强制使用)
iss: JWT的签发者
sub: 服务订阅者,也就是发起请求的服务消费者
aud: 服务提供者,也就是接收请求,验证通过后才提供服务
iat: JWT的签发时间
exp: JWT的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该JWT都是不可用的
jti: JWT的唯一标识,唯一性标识token,防重放攻击
- 公共声明
可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息。
- 私有声明
服务提供者和服务消费者共同定义的声明。
然后将payload进行base64URL编码,组成JWT的第2段。
注:payload务必不要存放敏感信息,因为base64URL只是一种编码方式,payload信息本身并不加密。
signature
JWT的第3段signature是签名信息,用于保证JWT的payload信息的完整性(header和payload数据不会被篡改)。
需要指定一个私钥(secret)用于签名。该私钥保存在服务器中,并且不能向用户公开。然后,使用标头中指定的签名算法(默认情况下为HMAC SHA256)根据以下算法生成签名。
HMACSHA256 ( base64UrlEncode(header) + "." + base64UrlEncode(payload) , secret ) 。
客户端收到服务端消息后,解析出header和payload,再按同样算法,使用公钥验签。验签通过,证明这是服务端发来的消息,是完整的。
【Base64URL编码】
编码的原因:方便以字节的方式表示数据,便于存储和网络传输。
如前所述,JWT的header和payload都用到了Base64URL编码。该编码方式和常见Base64算法类似,稍有差别。
因为作为令牌的JWT可以放在URL中(例如api.example/?token=xxx),而Base64中用到了3个字符"+","/"和"=",在URL中有特殊含义,因此Base64URL中做了替换:"="去掉,"+"用"-"替换,"/"用"_"替换,这就是Base64URL算法。
【用法】
客户端接收服务器返回的JWT,将其存储在Cookie或LocalStorage中。
此后,客户端将在与服务器交互中都会带JWT。
如果将它存储在Cookie中,就可以自动发送,但是不能跨域,
因此一般是将JWT放入HTTP请求的Header头信息 Authorization字段中 Authorization: Bearer
另一种做法是,当跨域时,将JWT被放置于POST请求的数据主体中。
【注意】
1、JWT默认不加密,但可以加密。生成原始令牌后,可以使用改令牌再次对其进行加密。
2、当JWT未加密时,一些私密数据千万不要通过JWT传输。
3、JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。
4、JWT的最大缺点是:服务器不保存会话状态,所以在使用期间,不可能取消令牌或更改令牌的权限。也就是说,一旦JWT签发,在有效期内将会一直有效。
5、JWT本身包含认证信息,因此一旦信息泄露,任何人都可以获得令牌的所有权限。为了减少盗用,JWT的有效期不宜设置太长。对于某些重要操作,用户在使用时应该每次都进行进行身份验证。
6、为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行传输。