JSON Web Tokens (JWT) 介绍

介绍JWT

在本文中，将解释JSON Web Tokens（JWT）的基本原理，以及为什么使用它们。 JWT是确保应用程序中的信任和安全性的重要部分。 JWT允许以安全的方式表示诸如用户数据的声明。
为了解释JWT如何工作，让我们从JWT的抽象定义（RFC 7519）开始。

JSON Web Token (JWT) is a compact, URL-safe means of representing
claims to be transferred between two parties. The claims in a JWT
are encoded as a JSON object that is used as the payload of a JSON
Web Signature (JWS) structure or as the plaintext of a JSON Web
Encryption (JWE) structure, enabling the claims to be digitally
signed or integrity protected with a Message Authentication Code
(MAC) and/or encrypted.

一个令牌就像这样：eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
令牌中包含了三个部分：
** header.claims.signature** (也有写成 ** header.payload.signature**的，意思是一样的。）

Json Web Token

Header

header 部分是一个简单的声明对象，这个声明包括 signature 使用的算法.
{
"alg" : "AES256",
"typ" : "JWT"
}

Claims

Cliams 也有称之为Payloads，是存放有效信息的地方。这个部分包含了业务中的所有的信息，用户可以任意自定义，但是要避免过于复杂或者太多的Claims影响性能。
标准中注册的声明 (建议但不强制使用) ：

• iss: jwt签发者
• sub: jwt所面向的用户
• aud: 接收jwt的一方
• exp: jwt的过期时间，这个过期时间必须要大于签发时间
• nbf: 定义在什么时间之前，该jwt都是不可用的.
• iat: jwt的签发时间
• jti: jwt的唯一身份标识，主要用来作为一次性token,从而回避重放攻击。

我们看看下面的示例：

{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}

Signature

Header和Claims使用的是base64编码，任何一个人都可以使用工具进行 编码 和 解码，所以，在设计JWT时，不应该在Cliams（声明）里面加入任何敏感的数据，如用户密码之类。
Signature 的主要目的是保护 Header 和 Claims 部分不能被篡改，一般的做法就是使用 hash 算法生成一个签名。这个只要保证服务器端的私有 key 是一致的，且不被泄露，就能保证这个 Claims 部分的信息是可信的。如下图部分，API Server通过检查JWT，即可以验证Token的真伪，无需再与Auth Server进行通信验证。

OAuth

JWT 的适用范围和优点

JWT 非常适用于分布式的无状态 API 服务器鉴权。
优点：

• 开发简单
• 不需要 cookie
• 使用了对移动端友好的 JSON 格式
• 不依赖于登陆服务器
• 概念简单容易理解