JWT(Json Web Token)定义了一种使用Json形式在网络间安全地传递信息的简洁开放的标准(RFC 7519)。JWT使用数字签名确保信息是可信的。
一、Session认证和Token认证
Http协议本身是无状态的,如果用户向服务器传递了用户名和密码进行了用户认证,那么下一次请求时用户还是需要进行同样的认证,因为根据Http协议,我们无法知道请求是由哪个用户发出的。所以,为了能识别哪个用户,免去每次都进行验证的麻烦,就有了传统的Session认证和token认证方案。
a) Session认证
Session认证的方案为:第一次用户认证请求通过时,服务器端存储用户的登录信息,然后在响应时传递给浏览器,浏览器保存为cookie,下次请求时把cookie发送给服务器,服务器根据cookie信息来识别是哪个用户。
Session认证适用于单个服务器的场合,如果用户增多,需要部署多个服务器时,Session认证就会暴露问题。因为每个用户在认证后,服务器都会记录Session,一般保存在内存中,随着认证用户增多,服务器开销也会增大;而且认证用户的后续请求都需要到这台保存了自己Session的服务器上验证Cookie。在多集群分布式的场合,这就造成了性能瓶颈,对负载均衡、应用的扩展都会造成影响。
进程外Session通过将Session保存在数据库或硬盘中可以解决服务器内存开销的问题,但仍然不便于扩展。
b) Token认证
Token认证也是无状态的,不需要在服务端保存认证用户的信息,它的认证流程为:用户使用用户名密码请求服务器;服务器验证用户,如果验证通过就发给用户一个token;客户端保存token,并在之后的每次请求都附上token;服务端验证token、返回数据。
Token认证机制不需要保存认证用户的信息、也不需要考录用户在那台服务器登录,可以很好地适应应用的扩展。
token的体积很小,请求服务端时,可以被附在URL、Header或是Post参数中。而且token中包含了用户相关的必要、非私密的相信,免去了服务端再次查询数据库的开销。
c) JWT的使用场景
最常用于对已经登录用户的认证,比如单点登录,只需在每次请求中都附上JWT,JWT体积小巧且支持跨域、多语言。
JWT也可以用于信息传输,因为有根据payload和header计算出的签名的保护,可以确保传递的信息不被篡改。
三、JWT的构成
JWT由Header、Payload、Signature三部分构成,之间用点号风格,构成xx.yy.zz的形式。
a) Header声明了token类型、算法类型(HMAC SHA256或RSA),比如
{
"alg": "HS256",
"typ": "JWT"
}
然后对header做Base64URL编码。
b) Payload中保存了声明信息,声明信息有标准声明、公开声明、自定义声明三种类型,前两种声明在相关的标准中已经规定https://www.iana.org/assignments/jwt/jwt.xhtml,推荐但不强制使用,标准声明举例有:
iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击
发送方和接收方也可以自定声明。
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
载荷信息也使用Base64URL编码。
c) Signature,签证信息是根据Header、Payload的Base64URL编码以及密钥(Secret)加密生成的,加密算法使用header中定义的类型。
d) Secret信息只保存在服务端,服务端为客户端签发jwt token要使用Secret,后续对客户端递交的jwt的验证也要使用Secret,所以一定要防止Secret的泄露。
四、JWT的使用
var secret = "h3h5k9kll789";
//JWT签发
var payload = new Dictionary<string, object>
{
{ "UserID",123},
{"UserName","admin" }
};
//指定HMAC加密算法
IJwtAlgorithm algorithm = new HMACSHA256Algorithm();
IJsonSerializer serializer = new JsonNetSerializer();
IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
IJwtEncoder encoder = new JwtEncoder(algorithm, serializer, urlEncoder);
var token = encoder.Encode(payload, secret);
//JWT验证及解析
IJsonSerializer serializer1 = new JsonNetSerializer();
IDateTimeProvider provider1 = new UtcDateTimeProvider();
IJwtValidator validator1 = new JwtValidator(serializer1, provider1);
IBase64UrlEncoder urlEncoder1 = new JwtBase64UrlEncoder();
IJwtDecoder decoder = new JwtDecoder(serializer1, validator1, urlEncoder1);
//解析出PayLoad
var json = decoder.Decode(token, secret, verify: true);
学习资料:如鹏网.net提高班http://www.rupeng.com/News/10/4603.shtml
http://www.jianshu.com/p/576dbf44b2ae
https://jwt.io/