当前位置:首页 > 科技  > 软件

一文读懂JWT

来源: 责编: 时间:2023-12-23 13:47:09 176观看
导读Labs 导读我们在做应用系统时避免不了用户的认证授权,说简单点就是:认证你是谁,授权你有什么权限。在这里先来谈谈用户的认证,目前常用的认证方式有两种:基于session认证、基于token认证。Part 01、 JWT是什么? JWT(JSON W

SSx28资讯网——每日最新资讯28at.com

Labs 导读

我们在做应用系统时避免不了用户的认证授权,说简单点就是:认证你是谁,授权你有什么权限。在这里先来谈谈用户的认证,目前常用的认证方式有两种:基于session认证、基于token认证。SSx28资讯网——每日最新资讯28at.com

Part 01、  JWT是什么?  

JWT(JSON Web Token)是一个开放的行业标准(RFC 7519),自身包含了身份验证所需要的所有信息,因此我们的服务器不需要存储用户Session信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。可以看出JWT更符合设计RESTful API时的Stateless(无状态)原则。并且使用JWT认证可以有效避免CSRF攻击,因为JWT一般是存在在localStorage中,使用JWT进行身份验证的过程中是不会涉及到Cookie的。SSx28资讯网——每日最新资讯28at.com

Part 02、  JWT由哪些部分组成? 

图片图片SSx28资讯网——每日最新资讯28at.com

JWT本质上是一组字串,通常是这样的:xxxxx.yyyyy.zzzzz,通过(.)切分成三个为Base64编码的部分:SSx28资讯网——每日最新资讯28at.com

  • Header:描述JWT的元数据,定义了生成签名的算法以及Token的类型。
  • Payload:用来存放实际需要传递的数据。
  • Signature:服务器通过Payload、Header和一个密钥(Secret)

使用Header里面指定的签名算法(默认是 HMAC SHA256)生成。SSx28资讯网——每日最新资讯28at.com

示例:SSx28资讯网——每日最新资讯28at.com

图片图片SSx28资讯网——每日最新资讯28at.com

可以通过https://jwt.io对上述JWT进行解码,解码之后便可得到Header、Payload、Signature这三部分。Header和Payload都是JSON格式的数据,Signature由Payload、Header和Secret(密钥)通过特定的计算公式和加密算法得到。SSx28资讯网——每日最新资讯28at.com

图片图片SSx28资讯网——每日最新资讯28at.com

  • Header

通常由两部分组成。SSx28资讯网——每日最新资讯28at.com

  • typ(Type):令牌类型,也就是JWT
  • alg(Algorithm):签名算法,比如HS256

示例:SSx28资讯网——每日最新资讯28at.com

图片图片SSx28资讯网——每日最新资讯28at.com

JSON形式的Header被转换成Base64编码,成为JWT的第一部。SSx28资讯网——每日最新资讯28at.com

  • Payload

包含了三种类型的声明。SSx28资讯网——每日最新资讯28at.com

  • Registered Claims(注册声明):预定义的一些声明,建议使用,但不强制。
  • Public Claims(公有声明):JWT签发方可以自定义的声明。
  • Private Claims(私有声明):JWT签发方因为项目需要而自定义的声明。

下面是一些常见的注册声明:SSx28资讯网——每日最新资讯28at.com

  • iss(issuer):JWT 签发方。
  • iat(issued at time):JWT签发时间。
  • sub(subject):JWT主题。
  • aud(audience):JWT接收方。
  • exp(expiration time):JWT的过期时间。
  • nbf(not before time):JWT生效时间,早于该定义的时间的JWT不能被接受处理。
  • jti(JWT ID):JWT唯一标识。

示例:SSx28资讯网——每日最新资讯28at.com

图片图片SSx28资讯网——每日最新资讯28at.com

Payload部分默认是不加密的,一定不要将隐私信息存放在 Payload 当中!!!SSx28资讯网——每日最新资讯28at.com

JSON 形式的Payload被转换成Base64编码,成为JWT的第二部分。SSx28资讯网——每日最新资讯28at.com

  • Signature

对前两部分的签名,作用是防止JWT(主要是payload)被篡改。签名的生成需要用到:Header+Payload、存放在服务端的密钥(一定不要泄露出去)、签名算法。签名的计算公式如下:SSx28资讯网——每日最新资讯28at.com

图片图片SSx28资讯网——每日最新资讯28at.com

算出签名以后,把 Header、Payload、Signature三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,这个字符串就是JWT。SSx28资讯网——每日最新资讯28at.com

Part 03、 JWT如何进行用户认证?

在基于JWT进行身份验证的的应用程序中,服务器通过 Payload、Header和Secret(密钥)创建JWT并将JWT发送给客户端。客户端接收到JWT之后,会将其保存在Cookie或者localStorage里面,以后客户端发出的所有请求都会携带这个令牌。SSx28资讯网——每日最新资讯28at.com

图片图片SSx28资讯网——每日最新资讯28at.com

简化后的步骤如下:SSx28资讯网——每日最新资讯28at.com

1.用户向服务器发送用户名、密码以及验证码用于登陆系统。SSx28资讯网——每日最新资讯28at.com

2.如果用户用户名、密码以及验证码校验正确的话,服务端会返回已签名的Token,也就是JWT。SSx28资讯网——每日最新资讯28at.com

3.用户以后每次向后端发请求都在Header中带上这个JWT。SSx28资讯网——每日最新资讯28at.com

4.服务端检查JWT并从中获取用户相关信息。SSx28资讯网——每日最新资讯28at.com

两点建议:SSx28资讯网——每日最新资讯28at.com

1.建议将JWT存放在localStorage中,放在Cookie中会有CSRF风险。SSx28资讯网——每日最新资讯28at.com

2.请求服务端并携带JWT的常见做法是将其放在HTTP Header的Authorization字段中(Authorization:Bearer Token)SSx28资讯网——每日最新资讯28at.com

Part 04、 JWT如何防止被篡改? 

服务器返回签名之后,即使JWT被泄露或者截获,黑客也没办法同时篡改Signature、Header、Payload。SSx28资讯网——每日最新资讯28at.com

这是为什么呢?因为服务端拿到JWT之后,会解析出其中包含的Header、Payload 以及Signature。服务端会根据Header、Payload、密钥再次生成一个Signature。拿新生成的Signature和JWT中的Signature作对比,如果一样就说明Header和Payload没有被修改。SSx28资讯网——每日最新资讯28at.com

不过,如果服务端的秘钥也被泄露的话,黑客就可以同时篡改Signature、Header、Payload了。黑客直接修改了Header和Payload之后,再重新生成一个Signature就可以了。SSx28资讯网——每日最新资讯28at.com

❖注意:密钥一定保管好,一定不要泄露出去。JWT安全的核心在于签名,签名安全的核心在密钥。SSx28资讯网——每日最新资讯28at.com

Part 05、  JWT如何加强安全性?  

1.使用安全系数高的加密算法。SSx28资讯网——每日最新资讯28at.com

2.使用成熟的开源库,没必要造轮子。SSx28资讯网——每日最新资讯28at.com

3.JWT存放在localStorage中而不是Cookie中,避免CSRF风险。SSx28资讯网——每日最新资讯28at.com

4.一定不要将隐私信息存放在Payload当中。SSx28资讯网——每日最新资讯28at.com

5.密钥一定保管好,一定不要泄露出去。JWT安全的核心在于签名,签名安全的核心在密钥。SSx28资讯网——每日最新资讯28at.com

6.Payload要加入exp(JWT的过期时间),永久有效的JWT不合理。并且JWT的过期时间不易过长。SSx28资讯网——每日最新资讯28at.com

Part 06、  JWT有哪些优缺点?  

- 优点SSx28资讯网——每日最新资讯28at.com

1.无状态:自身携带用户信息,不需要在服务器上保存session信息。SSx28资讯网——每日最新资讯28at.com

2.可有效避免CSRF攻击:CSRF攻击需要依赖Cookie,然而JWT选择存放在localStorage中,因此非法链接无法获取JWT。 SSx28资讯网——每日最新资讯28at.com

- 缺点SSx28资讯网——每日最新资讯28at.com

1.不可控:就比如说,我们想要在JWT有效期内废弃一个JWT或者更改它的权限的话,并不会立即生效,通常需要等到有效期过后才可以。再比如说,当用户Logout的话,JWT也还有效。SSx28资讯网——每日最新资讯28at.com

Part 07、  JWT使用总结 

在“约定优于配置,配置优于编码”的开发理念下,通过Apollo配置中心,程序员不需要每次更改线上配置都要重新发布服务,成功实现了将配置与编码解耦,为线上服务变更配置提供了解决方案。SSx28资讯网——每日最新资讯28at.com


SSx28资讯网——每日最新资讯28at.com

本文链接:http://www.28at.com/showinfo-26-52590-0.html一文读懂JWT

声明:本网页内容旨在传播知识,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。邮件:2376512515@qq.com

上一篇: 微服务开发,这十个点你要知道

下一篇: 15个跨平台的VS Code插件

标签:
  • 热门焦点
Top