JWT(Json Web Token)是一种用于互联网之间传递信息的机制。其中的Payload为封装了加密信息的内容,在Payload中被加密的信息是自包含的。JWT有三个部分:Header, Payload, Signature。其中Header包含了该Token使用的加密算法,通常使用的加密算法有以下几种:
1、HS256 - 使用HMAC algorithim SHA-256;
2、HS384 - 使用HMAC algorithim SHA-384;
3、HS512 - 使用HMAC algorithim SHA-512;
4、RS256 - 使用RSA algorithim SHA-256;
5、RS384 - 使用RSA algorithim SHA-384;
6、RS512 - 使用RSA algorithim SHA-512;
7、ES256 - 使用ECDSA algorithim SHA-256;
8、ES384 - 使用ECDSA algorithim SHA-384;
9、ES512 - 使用ECDSA algorithim SHA-512。
在JWT中,使用RSA加密可以保证密钥的安全性。RSA加密采用公钥加密,私钥解密,属于非对称加密算法,这样就能保证数据的安全性。因此,在使用RSA加密的时候,密钥是不可逆的。
JWT 支持两种加密方式,分别是HS256和RS256。HS256使用HMAC 算法,RS256使用RSA 证书,且输入的 jwk 和 x5c 可以使用不同的公钥证书。
JWT采用的加密方式是非常安全的,我们可以使用JWT的payload部分加密来进行鉴权,并且这种方式相对于传统的cookie与session认证方式更为安全。但是如果把JWT存储在localStorage和sessionStorage中,会面临如下风险:
1、XSS攻击,攻击者可以通过XSS攻击,获取用户的JWT。
2、CSRF攻击,攻击者可以通过伪造一个请求,再把假的JWT传过去,这时后台就会认为该用户已经登录,攻击者就可以做一些非法的事情。
// 生成Token的基本步骤 1.使用Header中声明的加密算法计算签名; 2.将Header和Payload组合在一起,中间用“.”分隔; 3.再将第2步得到的结果进行Base64加密,最终就得到了Token。
PHP是一种非常适合做后台的开发语言,下面是JWT加密解密的示例:
"http://example.org", "aud" => "http://example.com", "iat" => $time, "exp" => $time + 3600,//过期时间 "uid" => $uid ); $jwt = JWT::encode($token, $key); return $jwt; } //解密Token function decodeToken($token){ $key = '123456';//密钥 $decoded = JWT::decode($token, $key, array('HS256')); return (array)$decoded; } ?>
在使用JWT进行加密时,一定要保护好密钥。因为如果密钥泄漏,攻击者可以使用该密钥生成有效的Token,从而访问到一些敏感数据。
在进行密码加密时,要使用bcrypt这样的哈希算法,可以在一定程度上保证密码的安全性。
JWT中的加密过程在上面已经进行了详细的介绍,这里总结一下:
1、使用Header中声明的加密算法计算签名;
2、将Header和Payload组合在一起,中间用“.”分隔;
3、再将第2步得到的结果进行Base64加密,最终就得到了Token。
相对于传统的cookie与session认证方式,JWT认证有很多好处:
1、前后端分离:使用JWT,后端不需要保存session,从而让API更容易扩展。
2、无状态:JWT本身是无状态的,每个请求的Token都是独立的,减少了Server的开销。
3、安全性高: JWT采用了加密算法,从而保证了用户数据的安全。