1、JWT简介
JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;官网:https://jwt.io。
GitHub上jwt的java客户端:https://github.com/jwtk/jjwt。
【JWT的执行流程】
2、JWT的数据格式
一个jwt实际上由三部分组成,分别是:头部Header、载荷playload、签名signature。
2.1、JWT的头部Header
JWT的头部Header通常有两部分组成:
(1)声明的类型,一般是JWT;
(2)加密算法,通常都是自定义。
通常会对头部进行base64加密(可解密),得到第一部分数据。头部header用于描述关于JWT的最基本的信息,例如期类型以及签名所用的算法等,也可以被表示成为一个JSON对象。
{"type":"JWT","alg":"HS256"}
#type类型是JWT,alg表示签名加密算法是HS256。
【注意】(1)上面的代码进行BASE64编码(参考http://base64.xpcha.com/)后得到的字符串是eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9。
(2)Base64是一种基于64个可打印字符来表示二进制数据的表示方法。由于2的6次方等于64,所以每6个比特为一个单元,对应某个可打印字符。三个字节有24个比特,对应于4个Base64单元,即3个字节需要用4个可打印字符来表示。JDK 中
提供了非常方便的 BASE64Encoder 和 BASE64Decoder,用它们可以非常方便的完成基于 BASE64 的编码和解码。
2.2、JWT的载荷playload
载荷Playload就是存放有效信息的地方。载荷playload包含三个部分:
(1)标准中的声明,官方建议使用但是不强制使用的原则;
iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
(2)公共的声明:公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息,但不建议添加敏感信息,因为这部分内容在客户端可解密。
(3)私有的声明:私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称加密的,因为该部分内容信息是明文信息。
我们现在自定义一个Playload载荷:
#定义playload载荷内容
{"sub":"1234567890","name":"kefei","roles":"admin"}
#对以上载荷内容进行base64加密之后得到:
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6ImtlZmVpIiwicm9sZXMiOiJhZG1pbiJ9
2.3、JWT的签名signature
JWT签名信息是由三部分组成:header部分base64加密之后、playload部分内容base64加密之后的内容、secret。
JWT签名signature部分需要base64加密后的header和base64加密后的playload使用符号点.连接组成的字符串,然后通过header头部声明的加密方式进行加盐secret组合加密,最后形成JWT的第三部分。
【注意】签名部分secret是确保在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以它就是你服务器端的私钥,在任何场景都不应该公开。
JWT的头部header、载荷playload、签名signature三部分之间通过符号点.连接组成一个完整的字符串,最终形成jwt:
‘
使用JWT实现单点登录时,需要注意token时效性。token是保存在客户端的令牌数据,如果永久有效,则有被劫持的可能。token在设计的时候,可以考虑一次性有效或一段时间内有效。如果设置有效时长,则需要考虑是否需要刷新token有效期问题。
3、token存储
3.1、token的存储
使用JWT技术生成的token,客户端在保存的时候可以考虑cookie或localStorage。cookie保存方式,可以实现跨域传递数据。localStorage是域私有的本地存储,无法实现跨域。
3.2、webstorage
webstorage可保存的数据容量为5M。且只能存储字符串数据。webstorage分为localStorage和sessionStorage。
localStorage的生命周期是永久的,关闭页面或浏览器之后localStorage中的数据也不会消失。localStorage除非主动删除数据,否则数据永远不会消失。
sessionStorage是会话相关的本地存储单元,生命周期是在仅在当前会话下有效。sessionStorage引入了一个“浏览器窗口”的概念,sessionStorage是在同源的窗口中始终存在的数据。只要这个浏览器窗口没有关闭,即使刷新页面或者进入同源另一个页面,数据依然存在。但是sessionStorage在关闭了浏览器窗口后就会被销毁。同时独立的打开同一个窗口同一个页面,sessionStorage也是不一样的。