前言

好久没有码字了,今天来补个坑。本篇文章记录一下JSON Web Tokens的概念以及如何使用。大部分内容直接翻译自官方文档。

1、JSON Web Token是什么

JSON Web Token (简称JWT)不是一项技术,而是为了让JSON对象在各方之间安全地传输而制定的一项标准(RFC 7519)。这些信息能够被验证和信任,因为他们是基于签名算法的,可以通过秘钥验证JWT的合法性以及数据是否被篡改。

常见的签名算法有HS256和RS256两种,前一种称为对称算法,他使用同一个秘钥(secret)对签名进行签发和验证。后一种称为非对称算法,他提供一组公钥和私钥,采用公钥进行签发,采用私钥进行验证。

2、JSON Web Token 的组成

JWT的组成包括下面三个部分,每个部分之间用'.'隔开:

  • Header
  • Payload
  • Signature

就是类似于"xxxxx.yyyyy.zzzzz"这个样子的字符串

2.1、Header

Header通常由两个部分组成,token的类型以及使用的签名算法(例如HS256、RS256)

举个栗子:
{
"alg": "HS256",
"typ": "JWT"
}

将头部用Base64Url加密,构成了第一部分。

2.2、Payload

PayLoad是存放有效信息的部分。它包括三个部分:

  • Registered claims
  • Public claims
  • Private claims

Registered claims: 包括iss (签发者), exp (过期时间), sub (主体), aud (接收者)等等,这是一组预定义的声明,推荐但是不强制使用。

Public claims:由使用JWTs的用户随意定义。但是为了避免冲突,应该在IANA JSON Web令牌注册表中定义它们。

Private claims:由使用JWTs的用户随意定义。

举个栗子
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}

将PayLoad用Base64Url加密,构成第二部分

注意:由于Base64Url是可解密的,JWT仅保证他们不会被篡改,所以不应该在这些地方存储敏感信息。这个很重要!!

2.3、Signature

JWT的可靠性是由这个部分支持的,称为签名部分。我们一开始介绍的签名算法也是运用在这部分的。这部分由上述经过Base64Url加密后的Header和PayLoad以及一个秘钥加密而成。如果说你使用HS256对称算法,如下

HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)

3、小结

经过上述的步骤最终生成的JWT形如下方字符串的样子。



  • JWT的签名部分保证了前两部分是不会被篡改,一旦被恶意修改了,这个签名在校验时都会失败
  • JWT仅保证其内容不会被篡改,对于任意程序来说,前两个包含信息的部分都是可读的,不应该将敏感数据存放在其中。

适用场景

作为传统登录替换方案

JWT也是替换cookie-session的一种解决方案。相比于cookie-session的方案,他具有如下优点
1、服务器不需要去维护session,节省内存开销
2、支持移动端(安卓,ios)
3、支持跨域

单点登录

JWT的常用于单点登录的解决方案,如下图:


1.客户端请求认证服务器进行登录认证

2.认证服务器执行校验,校验成功生成JWT并返回给客户端(通常包含用户名,过期时间等信息)


3.客户端带着JWT访问服务A(通常是放在请求头中),服务A校验JWT(是否是合法的以及是否被篡改)。校验通过则响应请求。


!注意:
JWT校验时,如果是对称算法,服务A需要用到签发时的秘钥。这个秘钥绝不可以泄露,否则其便可以签发token。如果是非对称算法,仅需要私钥便可检验token,不需要将用于签发token的公钥告知给服务A。

开源库

JWT官网提供了丰富的第三方库,通过简单的方法调用就可以完成JWT的签发于校验,支持多种语言。