安全认证机制之JWT

文章目录

  • 前言
  • 一、JWT是什么
  • 二、为什么要用JWT
  • 三、JWT的组成
  • 四、JWT的应用场景
  • 总结


前言

  在我们实际开发中会接触到很多安全认证机制,诸如HTTP Basic Auth、OAuth、Cookie-session Auth、Token Auth、JWT等等,今天我们就来聊一下基于JWT的Token认证机制。


一、JWT是什么

  JSON Web Token (JWT) 是一个开放式标准(RFC 7519),它定义了一种紧凑且自成一体的方式,用于将各方之间的信息安全传输为 JSON 对象。此信息可以验证和信任,因为它是数字签名的。JWT 可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公/私密密钥对进行签名。


二、为什么要用JWT

与简单的 Web 令牌(SWT) 和安全断言标记语言令牌 (SAML)相比,让我们来谈谈 JSON Web 令牌(JWT)的好处。

  • 由于 JSON 比 XML 更冗长,因此在编码时,其大小也更小,使 JWT 比 SAML 更紧凑。这使得 JWT 成为在 HTML 和 HTTP 环境中传递的一个不错的选择。

  • 在安全性方面,SWT 只能通过使用 HMAC 算法的共享密秘密进行对称签名。但是,JWT 和 SAML 令牌可以使用以 X.509 证书形式形式的公共/私人密钥对进行签名。与签署 JSON 的简单性相比,在不引入模糊安全漏洞的情况下使用 XML 数字签名是非常困难的。

  • JSON 解析器在大多数编程语言中很常见,因为它们直接映射到对象。相反,XML 没有自然的文档对对象映射。这使得与 JWT 合作比 SAML 断言更容易。

  • 在使用方面,JWT 在互联网规模上使用。这突出了在多个平台(尤其是移动平台)上对 JSON Web 令牌进行客户端处理的便利性。


三、JWT的组成

  • Header 头部

    ‎头‎‎通常‎‎由两个部分组成:令牌的类型(即 JWT)和正在使用的签名算法,如 HMAC SHA256 或 RSA。‎

    例如:

    {
      "alg": "HS256",
      "typ": "JWT"
    }
    

    ‎然后,此 JSON 是‎‎Base64Url‎‎编码,以形成 JWT 的第一部分。‎

  • Payload 负载 (类似于飞机上承载的物品)

    令牌的第二部分是有效载荷,其中包含有效信息。有效信息包含三个部分:

    1. 注册的声明(建议但不强制使用):
    iss: jwt签发者
    sub: jwt所面向的用户
    aud: 接收jwt的一方
    exp: jwt的过期时间,这个过期时间必须要大于签发时间
    nbf: 定义在什么时间之前,该jwt都是不可用的.
    iat: jwt的签发时间
    jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
    
    1. 公共的声明:

    公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

    1. 私有的声明:

    这些是为在同意使用它们的各方之间共享信息而创建的自定义声明,既不是注册的声明,也不是公共的声明。

    例如:

    {
      "sub": "1234567890",
      "name": "John Doe",
      "admin": true
    }
    

    ‎然后,对有效载荷进行‎Base64Url‎‎编码,以形成 JSON Web 令牌的第二部分。‎

    ewogICJzdWIiOiAiMTIzNDU2Nzg5MCIsCiAgIm5hbWUiOiAiSm9obiBEb2UiLAogICJhZG1pbiI6IHRydWUKfQ==
    
  • Signature 签名/签证

    令牌的第三部分是签名,要创建签名,必须使用Base64Url‎编码后的Header头部、Base64Url‎编码后的Payload 载荷和一个secret(盐),Header头部和Payload 载荷使用.连接组成的字符串,通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

    ‎例如,如果您想要使用 HMAC SHA256 算法,则会以以下方式创建签名:‎

    HMACSHA256(
      base64UrlEncode(header) + "." +
      base64UrlEncode(payload),
      secret)
    

    签名用于验证信息,在途中没有更改,并且对于使用私人密钥签名的令牌,还可以验证 JWT 的发送者是否为其所声明的发送者。

    注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。


四、JWT的应用场景

  • Authentication(鉴权) : 这是使用JWT最常见的情况。 一旦用户登录,每个后续请求都将包含JWT,允许用户访问该令牌允许的路由,服务和资源。 单点登录是当今广泛使用JWT的一项功能,因为它的开销很小,并且能够轻松地跨不同域使用。

  • Information Exchange(信息交换) : JSON Web Tokens是在各方之间安全传输信息的好方式。 因为JWT可以签名:例如使用公钥/私钥对,所以可以确定发件人是他们自称的人。 此外,由于使用标头和有效载荷计算签名,因此您还可以验证内容是否未被篡改。


总结

  • 本文简单讲述了JWT是什么,有哪些部分组成的,有什么应用场景等等。
  • 欢迎大家提出建议以及批评,有任何问题可以私信。

你可能感兴趣的:(杂七杂八,安全)