Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该 Token 也可直接被用于认证,也可被加密。
认识用户认证(Authentication)
用户认证是用户在Web(浏览器)端输入用户账号和密码后与后台进行验证的过程。通常用户认证的方式有Cookie、令牌(Token)认证方式。
Cookie在浏览器端存储服务器的Seession,每次访问服务器时验证Session的状态。用户退出销毁Session和Cookie。
Token 验证是无状态的,服务器不记录哪些用户登录了或者哪些 JWT 被发布了,而是每个请求都带上了服务器需要验证的 token,token 放在了 Authorization header 或 body中。Token通常被存储到 LocalStorage或 Cookie 中。用户退出只需要清除本地 Token。
JWT的构成
头部(header)
例如:
{
'typ': 'JWT',//类型
'alg': 'HS256'//算法
}然后将头部进行base64加密(该加密是可以对称解密的):
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9载荷(payload,)
载荷就是存放有效信息的地方,包含三个部分:标准中注册的声明、公共的声明和私有的声明
标准中注册的声明 (建议但不强制使用) :
- iss: JWT签发者
- sub: JWT所面向的用户
- aud: 接收jwt的一方
- exp: JWT的过期时间,这个过期时间必须要大于签发时间
- nbf: 定义在什么时间之前,该JWT都是不可用的.
- iat: JWT的签发时间
- jti: JWT的唯一身份标识,主要用来作为一次性 Token ,从而回避重放攻击。
公共的声明 :
- 公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.
私有的声明 :
- 私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。
例如:
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}然后将其进行base64加密:
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9签名(signature)
这个签名信息由header、payload和秘钥用“.”连接起来的,如:
// php
$secret = '你的秘钥字符串';
$encodedString = base64_encode(header) . '.' . base64_encode(payload);
$signature = HMACSHA256(encodedString, $secret);
$JWT= $encodedString .".". $signature ;最终的 JWT :
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ注意:secret是保存在服务器端的,JWT 的签发生成也是在服务器端的,secret就是用来进行 JWT 的签发和 JWT 的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发 JWT 了。
浏览器端使用
一般是在请求头里加入Authorization:
headers: {
'x-access-token': token
}由服务端会验证token,在接口中返回验证通过资源或验证失败原因。