全栈之初识JWT -- Web安全的守护神

一、JWT 简介

JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。
JWT 是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。

二、解析 JWT

一个JWT实际上就是一个字符串

  • eg:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VySWQiOiIxMDAiLCJ1c2VybmFtZSI6IlpoYW5nU2FuIiwiaXNBZG1pbiI6dHJ1ZX0=.A3zvuB-qhP_oQGxCqeJ1c6uQUNAaaVOcAnMwWVeo5Qg

字符之间通过"."分隔符分为三个子串,它由三部分组成,头部(header)、载荷(payload) 与 签名(signature)

  • 组成:
头部(header) + "." + 载荷(payload) + "." + 签名(signature)

把它分成三段展示

// 头部(header) 
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
// 载荷(payload)
eyJ1c2VySWQiOiIxMDAiLCJ1c2VybmFtZSI6IlpoYW5nU2FuIiwiaXNBZG1pbiI6dHJ1ZX0=
// 签名(signature)
A3zvuB-qhP_oQGxCqeJ1c6uQUNAaaVOcAnMwWVeo5Qg

1、头部(Header)

头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。

{"typ":"JWT","alg":"HS256"}

在头部指明了签名算法是HS256算法。 我们进行BASE64编码http://www.bejson.com/enc/base64/,编码后的字符串如下:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

2、载荷(playload)

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分

(1)标准中注册的声明(建议但不强制使用)

iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token。

(2)公共的声明

公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

(3)私有的声明

私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

这个指的就是自定义的claim。比如前面那个结构举例中的admin和name都属于自定的claim。这些claim跟JWT标准规定的claim区别在于:JWT规定的claim,JWT的接收方在拿到JWT之后,都知道怎么对这些标准的claim进行验证(还不知道是否能够验证);而private claims不会验证,除非明确告诉接收方要对这些claim进行验证以及规则才行。

  • 定义一个payload:
{"userId":"100","username":"ZhangSan","isAdmin":true}
  • 然后将其进行base64加密,得到Jwt的第二部分。
eyJ1c2VySWQiOiIxMDAiLCJ1c2VybmFtZSI6IlpoYW5nU2FuIiwiaXNBZG1pbiI6dHJ1ZX0=

3、签名(signature)

jwt的第三部分是一个签名信息,是对上面两部分数据签名,通过指定的算法生成哈希,以确保数据不会被篡改。

首先,需要指定一个密码(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用标头中指定的签名算法(默认情况下为HMAC SHA256)根据以下公式生成签名。

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

  • eg :
A3zvuB-qhP_oQGxCqeJ1c6uQUNAaaVOcAnMwWVeo5Qg

注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

三、JWT的用法

客户端接收服务器返回的JWT,将其存储在Cookie或localStorage中。

此后,客户端将在与服务器交互中都会带JWT。如果将它存储在Cookie中,就可以自动发送,但是不会跨域,因此一般是将它放入HTTP请求的Header Authorization字段中。

Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VySWQiOiIxMDAiLCJ1c2VybmFtZSI6IlpoYW5nU2FuIiwiaXNBZG1pbiI6dHJ1ZX0=.A3zvuB-qhP_oQGxCqeJ1c6uQUNAaaVOcAnMwWVeo5Qg

当跨域时,也可以将JWT被放置于POST请求的数据主体中。

四、JWT问题和趋势

1、JWT默认不加密,但可以加密。生成原始令牌后,可以使用改令牌再次对其进行加密。

2、当JWT未加密方法是,一些私密数据无法通过JWT传输。

3、JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。

4、JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。也就是说,一旦JWT签发,在有效期内将会一直有效。

5、JWT本身包含认证信息,因此一旦信息泄露,任何人都可以获得令牌的所有权限。为了减少盗用,JWT的有效期不宜设置太长。对于某些重要操作,用户在使用时应该每次都进行进行身份验证。

6、为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行传输。


如果想继续学习 Passport 请查看我另外一篇文章:
全栈之初识 Passport & Passport-jwt -- Web安全的守护神
如果想继续学习 JWT && Passport 联合应用 请查看我另外一篇文章:
全栈之鉴权之旅 -- JWT + passport 实现 Token 验证(Node + Express)


觉得有帮助的小伙伴右上角点个赞~

在这里插入图片描述

扫描上方二维码关注我的订阅号~

本文由博客一文多发平台 OpenWrite 发布!

你可能感兴趣的:(全栈之初识JWT -- Web安全的守护神)