JWT

JWT

什么是JWT

Jwt(Json Web Tokern),一般用于用户认证(前后端分离/微信小程序/app开发)
用户登录，服务端给用户返回一个token(服务端不保存)。以后用户再来访问，服务端获取token后，再做token校验
优势：相较于传统的token，它无需在服务端保存token

JWT 实现

JWT.png

注意，jwt生成token是由三段字符串组成，并且连接起来。

后台生成token过程

• 第一段字符串，HEADER，内容包含算法和token类型

  json转成成字符串后，然后做base64url加密，注意base64Url是可以解密的

  {
    "alg": "HS256",              
    "typ": "JWT"
  }
  # base64Url加密后
  eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
  

• 第二段字符串，payload，自定义值

  • 载荷主要分为三个部分

    • 标准中注册的声明

      iss: jwt签发者 sub: 面向的用户(jwt所面向的用户)

      aud: 接收jwt的一方

      exp: 过期时间戳(jwt的过期时间，这个过期时间必须要大于签发时间)

      nbf: 定义在什么时间之前，该jwt都是不可用的.

      iat: jwt的签发时间

    • 公共的声明

      公共的声明可以添加任何的信息，一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息，因为该部分在客户端可解密.

    • 私有的声明

      私有声明是提供者和消费者所共同定义的声明，一般不建议存放敏感信息，因为base64是对称解密的，意味着该部分信息可以归类为明文信息。

  payload的json转化成字符串，然后做base64Ur加密，注意base64是可以解密的，所以不要传敏感信息

  {
    "sub": "1234567890", #用户id
    "name": "John Doe", #用户名
    "iat": 1516239022 #签发时间
  }
  # base64Url加密后
  eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ
  

• 第三段字符串

  • 第一步，第一部分和第二部分密文拼接起来

    eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ
    

  • 第二步，对前两部分密文进行HS256加密+加盐

  • 第三步，对第二步生成的密文进行Base64url加密生成value1

携带token访问校验token过程

• 以后用户再来访问的时候，需要携带token，后端需要对token进行校验

  • 获取token

  • 第一步，对token进行切割

    eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
    

  • 第二步，对第二段进行base64Url解密，并获取payload信息，检测token是否已经超时

    {
      "sub": "1234567890",
      "name": "John Doe",
      "iat": 1516239022
    }
    

  • 第三步，把前两段进行拼接，并对拼接部分进行Hash256进行加密+加盐处理获取值value2

  • 第四步，判断value2==base64解密(value1)

    • 如果相等，则token未被修改过，认证通过

JWT缺点

• JWT不仅可以用于认证,还可用于信息交换.善用JWT有助于减少服务器请求数据库的次数

• 生产的token可以包含基本信息,比如ID,用户昵称,头像等信息,避免再次查询数据库

• 存储在客户端,不占用客户端的内存资源

• JWT默认不加密,但是可以加密,生成原始令牌以后,可以再次对其进行加密

• 当JWT未加密时,一些私密的数据无法通过JWT传输

• JWT最大的缺点是服务器不会保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限,也就是说,一旦jwt签发,在有效期内将会一直有效

• 为了减少盗用，JWT的有效期不宜设置太长。对于某些重要操作，用户在使用时应该每次都进行进行身份验证。

• 不建议使用HTTP协议来传输代码，而是使用加密的HTTPS协议进行传输。

SpringBoot整合JWT