一、什么是 JWT?
JSON Web Token(JWT)是一个开放标准,它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作为 JSON 对象传输。
二、JWT 的使用场景
以下是使用 JWT 的一些情况:
•授权:这是使用 JWT 的最常见方案。用户登录后,每个后续请求都将包含 JWT,从而允许用户访问该 token 允许的路由、服务和资源。•信息交换:JWT 是在各方之间安全地传输信息的一种好方法。因为可以对 JWT 进行签名(例如,使用公钥/私钥对),所以你可以确定发件人是可信任的人,并且可以验证内容是否未被篡改。
三、JWT 的数据结构
JWT 由三部分组成,这些部分由 “点”( . )分隔,分别是:
•Header(标头)•Payload(有效载荷)•Signature(签名)
因此,JWT 通常如下所示:
xxxxx.yyyyy.zzzzz
3.1 Header
Header 通常由两部分组成:token 的类型(即 JWT)和所使用的签名算法,例如 HMAC SHA256 (简写为 HS256)或 RSA。
示例:
{"alg": "HS256", 签名算法"typ": "JWT" token类型}
3.2 Payload
token 的第二部分是 Payload,其中包含声明(claims)。声明是有关实体(通常是用户)和其他数据的声明。
共有三种类型的声明:
1. Registered claims(注册声明):一组非强制性的但建议使用的预定义声明。
•iss
(Issuer)签发人;
•sub
(Subject)主题;
•aud
(Audience)受众;
•exp
(Expiration Time)过期时间;
•nbf
(Not Before)生效时间;
•iat
(Issued At)签发时间;
•jti
(JWT ID)编号;
2. Public claims(公开声明):可以由使用 JWT 的人员随意定义的声明。
3. Private claims(私人声明):自定义声明,旨在在同意使用它们的各方之间共享信息,既不是注册声明也不是公开声明。
示例:
{"sub": "1234567890", / Registered claims"name": "John Doe", // Private claims"admin": true // Private claims}
请注意,对于已签名的 token,此信息尽管可以防止篡改,但任何人都可以读取。除非将其加密,否则请勿将机密信息放入 JWT 的 Payload 或 Header 元素中。
3.3 Signature
Signature 部分是对 token 前两部分的签名,防止数据篡改。
首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。
示例:
HMACSHA256(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)
3.4 组合
算出 Signature 后,把经过 Base64-URL 算法串行化后的 Header、Payload、Signature 拼成一个长字符串,每个部分之间用 “点”( . )分隔,就可以在 HTML 和 HTTP 环境中轻松传递该字符串。
下图显示了一个 JWT,它已对先前的 Header 和 Payload 进行了编码,并用一个 secret 进行了签名。
如果你想使用 JWT 并将这些概念付诸实践,则可以使用 jwt.io Debugger[1] 解码,验证和生成 JWT。
四、JWT 的工作方式
在身份验证中,当用户使用其凭据成功登录时,将返回 JWT。由于该 token 是作为凭据使用的,因此必须格外地小心,以防止出现安全问题。通常,JWT 的保留时间不应超过要求的时间。
由于缺乏安全性,你也不应该将敏感的会话数据存储在浏览器的 storage 中。
每当用户想要访问受保护的路由或资源时,用户代理都应发送 JWT,通常选择承载在 Request Headers 中的 Authorization 字段发送 JWT。如下所示:
Authorization: Bearer <token>
在某些情况下,这可以是无状态授权机制。服务器的受保护路由将在 Authorization 字段中检查有效的 JWT,如果存在,则将允许用户访问受保护的资源。如果 JWT 包含必要的数据,则可以减少查询数据库以进行某些操作的需求。
如果 token 在 Authorization 中发送,则跨域资源共享(CORS)不会成为问题,因为它不使用 cookie。
下图显示了如何获取 JWT 并将其用于访问 API 或资源:
1.应用程序或客户端向授权服务器请求授权。2.授予授权后,授权服务器会将 token 返回给应用程序。3.应用程序使用该 token 来访问受保护的资源(例如 API)。
六、总结 JWT 的几个特点
1. JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次。JWT 不加密的情况下,不能将秘密数据写入 JWT。
2. JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。
3. JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。
4. JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。
5. 为了减少被盗用概率,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。
写在最后:
想要继续深入学习 JWT 吗?扫描下方二维码或关注微信公众号:CodeFish 回复关键字 “JWT” 或 “电子书” 即可获取相关书籍资料!
更多优质电子书资源持续更新中...
References
[1]
jwt.io Debugger: https://jwt.io/#debugger-io
