JWT是什么?
JWT全称Json Web Token, (英文发音参考单词jot), 是一种新的基于Json的开放标准(RFC-7519). 与基于XML的SAML协议, JWT更为轻量.
一个典型的Token如下
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
JWT包含header, payload和signature三个部分, 每个部分最后都会以base64进行编码. 以"."进行连接.
JWT支持多种加密方式, 如HS256(基于HMAC和SHA-256), RS256(RSA和SHA-256)等.
JWT正被快速的应用在用户认证和信息交换等领域.
为什么要使用JWT?
1, JWT拥有良好的兼容性.
JWT可以很好的支持HTTP协议, 可以被用于HTTP Header, 可以作为Post请求参数, 可以被用于URL.
JWT现在已经有了.NET, Python, Node.js, Java, PHP, Ruby, Go, JavaScript, and Haskell实现, 可以支持多种开发平台.
2, JWT具有很好的扩展性.
JWT可以使用JWA(RFC-7518)规范定义的所有加密算法.
JWT的payload部分也叫JWT Claims, 除了内置的Claim, 如iss(Issuer), exp(Expiration time), 开发人员可以根据需要进行扩展.
3, JWT具有更多性能优势.
除了大小以外, JWT本身包含了用户相关的授权信息, 可以减少对数据库的重复查询.
4, 相对于OAuth等重量级的协议, 实现JWT速度更快, 同时, JWT不需要基于cookie, 对移动设备更加友好.
JWT有哪些不足?
1, JWT无法被收回/撤销.
对此, JWT的生命周期(exp)通常会设置的比较小. 或者要借助类似黑名单系统, 来限制非法JWT的使用. JWT的优势之一是减少对用户认证系统的单点依赖, 而方案二则某种程度上弱化了这一优势.
2, 方案一则容易倒置更频繁的更新Token请求.
JWT的应用场景?
1, 用户认证. 尤其在单点登录SSO场景中, 有良好的支持.
2, 信息交换. JWT本身就是一个带有签名的消息, 可以有效防止信息被篡改.
JWT的生成
1, 指定加密算法(header)
{ "alg": "HS256", "typ": "JWT" }
2, 值得Claims(payload)
{ "sub": "1234567890", "name": "John Doe", "admin": true }
3, 生成签名
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
4, 组合, 最终通过登录接口下发
5, 调用方
Authorization: Bearer xxx.bbb.ccc
或者通过到cookie.
6, 服务端验证
只需要使用相同的密钥和header中指定的加密算法验证签名的正确性即可.
总结
相对于OAuth2等复杂的认证鉴权体系, JWT有着容易理解, 开发简单, 轻量级等优点. 并且对于大多数基于token的认证系统来说, 替换成本很低. 并且, JWT的生成/验证过程也非常独立, 可以服务化, 使得JWT有着非常好的扩展性(规模扩展), 因此非常适合移动互联网这种高并发的场景.