JSON Web Token
尽管JWT可以被加密以在各方之间提供保密性,但我们将重点关注签名令牌。签名令牌可以验证其中包含的声明的完整性,而加密令牌对其他方隐藏这些声明。当使用公钥/私钥对令牌进行签名时,签名还证明只有持有私钥的一方才是签名方。
授权:这是使用JWT最常见的场景。一旦用户登录,每个后续请求将包括JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是目前广泛使用JWT的一种功能,因为它的开销小,并且能够轻松地跨不同的域使用。 信息交换:JSON Web令牌是在各方之间安全传输信息的好方法。因为JWT可以签名,例如,使用公钥/私钥对,您可以确保发送者是他们所说的人。此外,由于签名是使用标头和有效负载计算的,因此您还可以验证内容是否未被篡改。
Header Payload Signature
因此,JWT通常如下所示。
xxxxx.yyyyy.zzzzz让我们把不同的部分分解一下。
Header
{"alg": "HS256","typ": "JWT"}
Payload
Token令牌的第二部分是有效负载,其中包含声明。声明是关于实体(通常是用户)和附加数据的声明。有三种类型的声明:registered, public, and private claims.
Registered claims: :这些声明是一组预定义的声明,不是强制性的,而是推荐的,以提供一组有用的、可互操作的声明。其中一些是:iss (issuer), exp (expiration time), sub (subject), aud (audience), and others.。 请注意,声明名称只有三个字符长,因为JWT是紧凑的。 Public claims: 这些声明可以由使用JWTs的人随意定义。但是为了避免冲突,应该在IANA JSON Web Token Registry中定义它们,或者将它们定义为包含防冲突命名空间的URI Private claims: 这些自定义声明是为了在同意使用它们的各方之间共享信息而创建的,既不是注册声明,也不是公开声明。
一个示例有效载荷可以是:
{"sub": "1234567890","name": "John Doe","admin": true}
然后对有效负载进行Base64Url编码,以形成JSON Web令牌的第二部分。
请注意,对于签名的token令牌,此信息尽管受到了防篡改保护,但任何人都可以读取。除非经过加密,否则不要将机密信息放入JWT的有效负载或头元素中。
Signature
要创建签名部分,您必须获取编码的标头、编码的有效负载、一个secret、标头中指定的算法,并对其进行签名。
例如,如果要使用HMAC SHA256算法,将按以下方式创建签名:
HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),secret)
签名用于验证消息在发送过程中没有被更改,并且,对于使用私钥签名的令牌,它还可以验证JWT的发送者是否是它所说的人。
把所有在一起
输出是三个由点分隔的Base64 URL字符串,这些字符串可以在HTML和HTTP环境中轻松传递,同时与基于XML的标准(如SAML)相比更加紧凑。
下面显示了一个JWT,该JWT对前一个头和有效负载进行了编码,并使用secret密钥签名。
如果您想使用JWT并将这些概念付诸实践,可以使用 jwt.io Debugger 来解码、验证和生成JWT。(jwt.io Debugger在这:https://jwt.io/#debugger-io)
■ ■■■■
由于缺乏安全性,您也不应该在浏览器存储中存储敏感的会话数据。
当用户希望访问受保护的路由或资源时,用户代理应该发送JWT,通常是在使用Bearer schema的Authorization header中。header的内容应该如下所示:
Authorization: Bearer <token>
在某些情况下,这可能是一种无状态授权机制。服务器的受保护路由将检查头中是否存在有效的JWT,如果存在,则允许用户访问受保护的资源。如果JWT包含必要的数据,可能会减少查询数据库中某些操作的需要,尽管情况并非总是如此。
如果令牌在标头中发送,则跨源资源共享(CORS)不会成为问题,因为它不使用Cookie.
下图显示了如何获取JWT并将其用于访问API或资源:
The application or client requests authorization to the authorization server. This is performed through one of the different authorization flows. For example, a typical OpenID Connect compliant web application will go through the endpoint using the authorization code flow.
/oauth/authorizeWhen the authorization is granted, the authorization server returns an access token to the application.
The application uses the access token to access a protected resource (like an API).
让我们讨论一下JSON Web Tokens (JWT)与Simple Web Tokens (SWT) 和Security Assertion Markup Language Tokens (SAML)相比的好处。
由于JSON没有XML那么冗长,所以在编码时它的大小也更小,这使得JWT比SAML更紧凑。这使得JWT成为在HTML和HTTP环境中传递的一个很好的选择。
在安全方面,SWT只能通过使用HMAC算法的共享密钥进行对称签名。但是,JWT和SAML令牌可以使用X.509证书形式的公钥/私钥对进行签名。与简单的JSON签名相比,用XML数字签名签名XML而不引入模糊的安全漏洞是非常困难的。
JSON解析器在大多数编程语言中都很常见,因为它们直接映射到对象。相反,XML没有一个自然的文档到对象的映射。这使得使用JWT比使用SAML断言更容易。
在使用方面,JWT是在互联网规模上使用的。这突出了JSON Web令牌在多个平台(特别是移动平台)上的客户端处理的便捷性。
■ ■■■■
总结
本文主要介绍了在Gin中JWT相关的知识介绍,了解什么是JWT,什么时候应该使用它,它的结构是如何的,它又是如何工作的,以及为什么应该使用它。
后续,我将为您介绍,在Gin中如何使用JWT教程,敬请期待~~。
内容原文:Introduction to JSON Web Tokens
链接:https://jwt.io/introduction
公众号:一起Go技术
内容翻译:sirxy
长按二维码关注我们吧
不要错过
