什么是JWT
jwt是一段密文;然而密码是如何产生的? 密码是由三个部分生成;
1、JWT头:JWT头部分是一个描述JWT元数据的JSON对象:{"alg":"hash256","type":"jwt"}
alg:表示签名使用的算法,默认为hmac sha256;type属性表示令牌的类型,最后使用base64算法将json对象转换为字符串保存
2 、有效载荷
有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认字段供选择。
iss:发行人 exp:到期时间 sub:主题 aud:用户 nbf:在此之前不可用 iat:发布时间 jti:JWT ID用于标识该JWT
除以上默认字段外,我们还可以自定义私有字段,如下例:
{ "name":"aaaa",
"admin":true
}
默认情况下JWT是未加密的,任何人都可以解读其内容
3、签名哈希
签名哈希部分是对上面两部分数据签名,通过指定的算法生成哈希,以确保数据不会被篡改。
首先,需要指定一个密码(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用标头中指定的签名算法(默认情况下为HMAC SHA256)根据以下公式生成签名。
HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),
secret)
在计算出签名哈希后,JWT头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用"."分隔,就构成整个JWT对象
4、base64算法
JWT头和有效载荷序列化的算法都用到了Base64URL。该算法和常见Base64算法类似,稍有差别。
作为令牌的JWT可以放在URL中(例如api.example/?token=xxx)。 Base64中用的三个字符是"+","/"和"=",由于在URL中有特殊含义,因此Base64URL中对他们做了替换:"="去掉,"+"用"-"替换,"/"用"_"替换,这就是Base64URL算法
jwt的特点
1、JWT默认不加密,但可以加密。生成原始令牌后,可以使用改令牌再次对其进行加密。
2、当JWT未加密方法是,一些私密数据无法通过JWT传输。
3、JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。
4、JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。也就是说,一旦JWT签发,在有效期内将会一直有效。
5、JWT本身包含认证信息,因此一旦信息泄露,任何人都可以获得令牌的所有权限。为了减少盗用,JWT的有效期不宜设置太长。对于某些重要操作,用户在使用时应该每次都进行进行身份验证。
6、为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行传输
jwt的应用:
前后端分离
登录:
从上述可知:可以用jwt的签名以及 算法可以生成一段加密的字符串,而生成的字符串可以对其进行有效期设置,生成的字符串可以自定义,那么可以定义将用户的用户名、id、生成为token,
当用户首次在客户端登录之后,服务端进行对其校验和认证,如果都正确,那么服务端将为登录的用户生成一个token返回给客户端,客户端保存服务端返回的token;当客户端再次登录系统时,
客户端拿到第一次存储的token 提交到服务端,服务端对token 有效期及合法性校验;
如果token的时间失效则 返回登录页,重新登录,或者为用户再次重新生成新的一个token;
数据提交:
客户端存了token以后,每次和后台交互的时候,都把token携带上,服务端在过滤器或者拦截器时进行token的合法性校验;
jwt-session;
jwt认证成功之后;可将用户的信息交个session;
OAuth2
什么是OAuth
OAuth是一个关于授权(authorization)的开放网络协议,在全世界得到广泛应用,目前的版本是2.0版。
OAuth是一种安全的授权框架,提供了一套详细的授权机制。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。它详细描述了系统中不同角色、用户、服务前端应用(比如API),以及客户端(比如网站或移动App)之间怎么实现相互认证。
Oauth2定义了一组相当复杂的规范。涉及到:Roles角色、Client Types客户端类型、Client Profile客户端描述、Authorization Grants认证授权、Endpoints终端等
OAuth简单说就是一种授权的协议,只要授权方和被授权方遵守这个协议去写代码提供服务,那双方就是实现了OAuth模式。
举个例子
你想在京东购物,但你从来没注册过京东账号,又不想新注册一个再使用京东,怎么办呢?不用担心,京东已经为你这种懒人做了准备,用你的qq号可以授权给京东进行登录;
Oauth2和jwt是完全不同的两种东西,一个是授权认证的框架,另一种则是认证验证的方式方法(轻量级概念)。OAuth2不像JWT一样是一个严格的标准协议,因此在实施过程中更容易出错。尽管有很多现有的库,但是每个库的成熟度也不尽相同,同样很容易引入各种错误。在常用的库中也很容易发现一些安全漏洞。