JWT基本概念學習

2021-10-03 19:24:44 字數 3257 閱讀 9133

json web token(縮寫 jwt)是目前最流行的跨域認證解決方案。

jwt 是為了在網路應用環境間傳遞宣告而執行的一種基於json的開放標準((rfc 7519).該token被設計為緊湊且安全的,特別適用於分布式站點的單點登入(sso)場景。jwt的宣告一般被用來在身份提供者和服務提供者間傳遞被認證的使用者身份資訊,以便於從資源伺服器獲取資源,也可以增加一些額外的其它業務邏輯所必須的宣告資訊,該token也可直接被用於認證,也可被加密。

jwt 的原理是,伺服器認證以後,生成乙個 json 物件,發回給使用者,就像下面這樣。

以後,使用者與服務端通訊的時候,都要發回這個json 物件。伺服器完全只靠這個物件認定使用者身份。為了防止使用者篡改資料,伺服器在生成這個物件的時候,會加上簽名(詳見後文)。

伺服器就不儲存任何 session 資料了,也就是說,伺服器變成無狀態了,從而比較容易實現擴充套件。

jwt由三部分組成,分別是header(頭部),payload(負載),signature(簽名),中間以(.)分隔,如下格式:

*注意,jwt 內部是沒有換行的,這裡只是為了便於展示,將它寫成了	


幾行。
最後,將上面的 json 物件使用 base64url 演算法(詳見後文)轉成字串。

1.header

header 部分是乙個 json 物件,描述 jwt 的元資料,通常是下面的樣子

alg屬性表示簽名的演算法(algorithm),預設是 hmac sha256(寫成 hs256);typ屬性表示這個令牌(token)的型別(type),jwt 令牌統一寫為jwt。

2.payload

payload 部分也是乙個 json 物件,用來存放實際需要傳遞的資料。jwt 規定了7個官方字段,供選用。

iss (issuer):簽發人


exp (expiration time):過期時間


sub (subject):主題


aud (audience):受眾


nbf (not before):生效時間


iat (issued at):簽發時間


jti (jwt id):編號
除了官方字段,你還可以在這個部分定義私有字段,下面就是乙個例子。

*注意,jwt 預設是不加密的,任何人都可以讀到,所以不要把秘密資訊放在這個部分。
這個 json 物件也要使用 base64url 演算法轉成字串。

3.signature

signature 部分是對前兩部分的簽名,防止資料篡改。

首先,需要指定乙個金鑰(secret)。這個金鑰只有伺服器才知道,不能洩露給使用者。然後,使用 header 裡面指定的簽名演算法(預設是 hmac sha256),按照下面的公式產生簽名。

hmacsha256(


base64urlencode(header) + "." +


base64urlencode(payload),


secret)
算出簽名以後,把 header、payload、signature 三個部分拼成乙個字串,每個部分之間用"點"(.)分隔,就可以返回給使用者。

4.base64url

前面提到,header 和 payload 串型化的演算法是 base64url。這個演算法跟 base64 演算法基本類似,但有一些小的不同。

jwt 作為乙個令牌(token),有些場合可能會放到 url(比如 api.example.com/?token=***)。**base64 有三個字元+、/和=,在 url 裡面有特殊含義,所以要被替換掉:=被省略、+替換成-,/替換成_ 。**這就是 base64url 演算法。

客戶端收到伺服器返回的 jwt,可以儲存在 cookie 裡面,也可以儲存在 localstorage。

此後,客戶端每次與伺服器通訊,都要帶上這個 jwt。你可以把它放在 cookie 裡面自動傳送,但是這樣不能跨域,所以更好的做法是放在 http 請求的頭資訊authorization欄位裡面。

authorization: bearer
另一種做法是,跨域的時候,jwt 就放在 post 請求的資料體裡面。

(1)jwt 預設是不加密,但也是可以加密的。生成原始 token 以後,可以用金鑰再加密一次。

(2)jwt 不加密的情況下,不能將秘密資料寫入 jwt。

(3)jwt 不僅可以用於認證,也可以用於交換資訊。有效使用 jwt,可以降低伺服器查詢資料庫的次數。

(4)jwt 的最大缺點是,由於伺服器不儲存 session 狀態,因此無法在使用過程中廢止某個 token,或者更改 token 的許可權。也就是說,一旦 jwt 簽發了,在到期之前就會始終有效,除非伺服器部署額外的邏輯。

(5)jwt 本身包含了認證資訊,一旦洩露,任何人都可以獲得該令牌的所有許可權。為了減少盜用,jwt 的有效期應該設定得比較短。對於一些比較重要的許可權,使用時應該再次對使用者進行認證。

(6)為了減少盜用,jwt 不應該使用 http 協議明碼傳輸,要使用 https 協議傳輸。

相比****** web tokens (swt)(簡單web令牌) and security assertion markup language tokens (saml)(安全斷言標記語言令牌);

jwt比saml更簡潔,在html和http環境中傳遞更方便;在安全方面,swt只能使用hmac演算法通過共享金鑰對稱簽名。但是,jwt和saml令牌可以使用x.509證書形式的公鑰/私鑰對進行簽名。與簽名json的簡單性相比,使用xml數字簽名可能會存在安全漏洞;json解析成物件相比xml更流行、方便。

Dos基本概念學習

dos基本概念 2010年12月30日 星期二 04 58 p.m.早期的計算機系統通常由 處理器 cpu 記憶體 外部裝置等部件組成,使用者往往獨佔了計算機的所有資源.例如計算機通過印表機列印時,其它裝置都在等待,這樣計算機的使用效率很低,使用者等待的時間很長.隨著計算機的不斷發展,尤其是計算機各...

C 委託學習 1 基本概念學習

1 含義 1 委託就是將函式作為引數進行傳遞,把委託作為方法的乙個載體,並進行運算。2 委託是具有一定資料結構的函式指標 2 使用委託變數的步驟 1 第一步 準備 要進行委託的方法 2 第二步 準備委託的型別,注意委託 定義的簽名要與將要進行委託的方法的簽名保持一致。委託定義語法 public de...

資料庫基本概念學習 資料庫設計

本文主要參考了 資料庫的概念設計與邏輯設計 一文。複習了資料庫當中的概念設計 邏輯設計 物理設計等基本概念。概念設計 概念設計的目的是根據需求分析的結果,將使用者對資料的需求綜合成乙個統一的概念模型,它是整個資料庫設計的關鍵。設計時,一般是先根據單個應用的需求,畫出能反映每個應用需求的區域性e r模...