|
JSON Web Token(縮寫(xiě) JWT)是目前最流行的跨域認(rèn)證解決方案�����,本文介紹它的原理和用法�。
一��、跨域認(rèn)證的問(wèn)題
互聯(lián)網(wǎng)服務(wù)離不開(kāi)用戶認(rèn)證。一般流程是下面這樣�。
1、用戶向服務(wù)器發(fā)送用戶名和密碼�。
2、服務(wù)器驗(yàn)證通過(guò)后���,在當(dāng)前對(duì)話(session)里面保存相關(guān)數(shù)據(jù)��,比如用戶角色�����、登錄時(shí)間等等。
3�、服務(wù)器向用戶返回一個(gè) session_id����,寫(xiě)入用戶的 Cookie����。
4��、用戶隨后的每一次請(qǐng)求,都會(huì)通過(guò) Cookie���,將 session_id 傳回服務(wù)器��。
5��、服務(wù)器收到 session_id�,找到前期保存的數(shù)據(jù)���,由此得知用戶的身份。
這種模式的問(wèn)題在于��,擴(kuò)展性(scaling)不好�����。單機(jī)當(dāng)然沒(méi)有問(wèn)題�����,如果是服務(wù)器集群�,或者是跨域的服務(wù)導(dǎo)向架構(gòu)�����,就要求 session 數(shù)據(jù)共享,每臺(tái)服務(wù)器都能夠讀取 session����。
舉例來(lái)說(shuō),A 網(wǎng)站和 B 網(wǎng)站是同一家公司的關(guān)聯(lián)服務(wù)。現(xiàn)在要求�����,用戶只要在其中一個(gè)網(wǎng)站登錄�����,再訪問(wèn)另一個(gè)網(wǎng)站就會(huì)自動(dòng)登錄,請(qǐng)問(wèn)怎么實(shí)現(xiàn)��?
一種解決方案是 session 數(shù)據(jù)持久化�,寫(xiě)入數(shù)據(jù)庫(kù)或別的持久層���。各種服務(wù)收到請(qǐng)求后,都向持久層請(qǐng)求數(shù)據(jù)��。這種方案的優(yōu)點(diǎn)是架構(gòu)清晰���,缺點(diǎn)是工程量比較大�。另外���,持久層萬(wàn)一掛了�����,就會(huì)單點(diǎn)失敗���。
另一種方案是服務(wù)器索性不保存 session 數(shù)據(jù)了,所有數(shù)據(jù)都保存在客戶端,每次請(qǐng)求都發(fā)回服務(wù)器���。JWT 就是這種方案的一個(gè)代表����。
二�����、JWT 的原理
JWT 的原理是����,服務(wù)器認(rèn)證以后�,生成一個(gè) JSON 對(duì)象,發(fā)回給用戶,就像下面這樣���。
{
"姓名": "張三",
"角色": "管理員",
"到期時(shí)間": "2018年7月1日0點(diǎn)0分"
}
以后���,用戶與服務(wù)端通信的時(shí)候���,都要發(fā)回這個(gè) JSON 對(duì)象���。服務(wù)器完全只靠這個(gè)對(duì)象認(rèn)定用戶身份�����。為了防止用戶篡改數(shù)據(jù)����,服務(wù)器在生成這個(gè)對(duì)象的時(shí)候��,會(huì)加上簽名(詳見(jiàn)后文)����。
服務(wù)器就不保存任何 session 數(shù)據(jù)了�����,也就是說(shuō)���,服務(wù)器變成無(wú)狀態(tài)了,從而比較容易實(shí)現(xiàn)擴(kuò)展�����。
三�、JWT 的數(shù)據(jù)結(jié)構(gòu)
實(shí)際的 JWT 大概就像下面這樣����。
它是一個(gè)很長(zhǎng)的字符串,中間用點(diǎn)(.)分隔成三個(gè)部分�。注意,JWT 內(nèi)部是沒(méi)有換行的�,這里只是為了便于展示����,將它寫(xiě)成了幾行�����。
JWT 的三個(gè)部分依次如下��。
- Header(頭部)
- Payload(負(fù)載)
- Signature(簽名)
寫(xiě)成一行��,就是下面的樣子��。
Header.Payload.Signature
下面依次介紹這三個(gè)部分��。
3.1 Header
Header 部分是一個(gè) JSON 對(duì)象���,描述 JWT 的元數(shù)據(jù)��,通常是下面的樣子�。
{
"alg": "HS256",
"typ": "JWT"
}
上面代碼中�,alg屬性表示簽名的算法(algorithm)����,默認(rèn)是 HMAC SHA256(寫(xiě)成 HS256)�;typ屬性表示這個(gè)令牌(token)的類型(type),JWT 令牌統(tǒng)一寫(xiě)為JWT���。
最后��,將上面的 JSON 對(duì)象使用 Base64URL 算法(詳見(jiàn)后文)轉(zhuǎn)成字符串。
3.2 Payload
Payload 部分也是一個(gè) JSON 對(duì)象�,用來(lái)存放實(shí)際需要傳遞的數(shù)據(jù)。JWT 規(guī)定了7個(gè)官方字段��,供選用。
- iss (issuer):簽發(fā)人
- exp (expiration time):過(guò)期時(shí)間
- sub (subject):主題
- aud (audience):受眾
- nbf (Not Before):生效時(shí)間
- iat (Issued At):簽發(fā)時(shí)間
- jti (JWT ID):編號(hào)
除了官方字段��,你還可以在這個(gè)部分定義私有字段,下面就是一個(gè)例子�。
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
注意,JWT 默認(rèn)是不加密的�,任何人都可以讀到��,所以不要把秘密信息放在這個(gè)部分����。
這個(gè) JSON 對(duì)象也要使用 Base64URL 算法轉(zhuǎn)成字符串����。
3.3 Signature
Signature 部分是對(duì)前兩部分的簽名,防止數(shù)據(jù)篡改�����。
首先�,需要指定一個(gè)密鑰(secret)����。這個(gè)密鑰只有服務(wù)器才知道���,不能泄露給用戶��。然后�����,使用 Header 里面指定的簽名算法(默認(rèn)是 HMAC SHA256)��,按照下面的公式產(chǎn)生簽名�����。
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
算出簽名以后�,把 Header、Payload�����、Signature 三個(gè)部分拼成一個(gè)字符串,每個(gè)部分之間用"點(diǎn)"(.)分隔����,就可以返回給用戶�。
3.4 Base64URL
前面提到,Header 和 Payload 串型化的算法是 Base64URL。這個(gè)算法跟 Base64 算法基本類似��,但有一些小的不同����。
JWT 作為一個(gè)令牌(token)���,有些場(chǎng)合可能會(huì)放到 URL(比如 api.example.com/?token=xxx)。Base64 有三個(gè)字符+����、/和=,在 URL 里面有特殊含義�����,所以要被替換掉:=被省略����、+替換成-�,/替換成_ �����。這就是 Base64URL 算法。
四�����、JWT 的使用方式
客戶端收到服務(wù)器返回的 JWT��,可以儲(chǔ)存在 Cookie 里面����,也可以儲(chǔ)存在 localStorage。
此后����,客戶端每次與服務(wù)器通信��,都要帶上這個(gè) JWT�。你可以把它放在 Cookie 里面自動(dòng)發(fā)送�,但是這樣不能跨域,所以更好的做法是放在 HTTP 請(qǐng)求的頭信息Authorization字段里面��。
Authorization: Bearer <token>
另一種做法是��,跨域的時(shí)候��,JWT 就放在 POST 請(qǐng)求的數(shù)據(jù)體里面����。
五、JWT 的幾個(gè)特點(diǎn)
(1)JWT 默認(rèn)是不加密,但也是可以加密的����。生成原始 Token 以后,可以用密鑰再加密一次�����。
(2)JWT 不加密的情況下���,不能將秘密數(shù)據(jù)寫(xiě)入 JWT。
(3)JWT 不僅可以用于認(rèn)證�,也可以用于交換信息�����。有效使用 JWT��,可以降低服務(wù)器查詢數(shù)據(jù)庫(kù)的次數(shù)。
(4)JWT 的最大缺點(diǎn)是�,由于服務(wù)器不保存 session 狀態(tài),因此無(wú)法在使用過(guò)程中廢止某個(gè) token��,或者更改 token 的權(quán)限��。也就是說(shuō)���,一旦 JWT 簽發(fā)了���,在到期之前就會(huì)始終有效���,除非服務(wù)器部署額外的邏輯�����。
(5)JWT 本身包含了認(rèn)證信息�,一旦泄露���,任何人都可以獲得該令牌的所有權(quán)限����。為了減少盜用,JWT 的有效期應(yīng)該設(shè)置得比較短�����。對(duì)于一些比較重要的權(quán)限,使用時(shí)應(yīng)該再次對(duì)用戶進(jìn)行認(rèn)證��。
(6)為了減少盜用�����,JWT 不應(yīng)該使用 HTTP 協(xié)議明碼傳輸���,要使用 HTTPS 協(xié)議傳輸���。
六、參考鏈接
(完)
|
