JWT(JSON Web Token)的基本原理

王同學要努力 2021-09-20 01:20:04 阅读数:619

jwt json web token 基本原理

JWT(JSON Web Token)的基本原理

在這裏插入圖片描述
JSON Web Token(縮寫 JWT)是目前最流行的跨域認證解决方案

一、跨域認證的問題

1、用戶向服務器發送用戶名和密碼。

2、服務器驗證通過後,在當前對話(session)裏面保存相關數據,比如用戶角色、登錄時間等等。

3、服務器向用戶返回一個 session_id,寫入用戶的 Cookie。

4、用戶隨後的每一次請求,都會通過 Cookie,將 session_id 傳回服務器。

5、服務器收到 session_id,找到前期保存的數據,由此得知用戶的身份。

這種模式的問題在於,擴展性(scaling)不好。單機當然沒有問題,如果是服務器集群,或者是跨域的服務導向架構,就要求 session 數據共享,每臺服務器都能够讀取 session。

問:A 網站和 B 網站是同一家公司的關聯服務。現在要求,用戶只要在其中一個網站登錄,再訪問另一個網站就會自動登錄,請問怎麼實現?

一種解决方案是 session 數據持久化,寫入數據庫或別的持久層。各種服務收到請求後,都向持久層請求數據。這種方案的優點是架構清晰,缺點是工程量比較大。另外,持久層萬一掛了,就會單點失敗。

另一種方案是服務器索性不保存 session 數據了,所有數據都保存在客戶端,每次請求都發回服務器。JWT 就是這種方案的一個代錶。

二、JWT 的原理

JWT 的原理是,服務器認證以後,生成一個 JSON 對象,發回給用戶,就像下面這樣。

在這裏插入圖片描述
以後,用戶與服務端通信的時候,都要發回這個 JSON 對象。服務器完全只靠這個對象認定用戶身份。為了防止用戶篡改數據,服務器在生成這個對象的時候,會加上簽名(詳見後文)。

服務器就不保存任何 session 數據了,也就是說,服務器變成無狀態了,從而比較容易實現擴展。

三、JWT 的數據結構

在這裏插入圖片描述

它是一個很長的字符串 中間用點分隔成三部分

JWT的三部分依次如下:

在這裏插入圖片描述

寫成一行,就是下面的樣子

Header.Payload.Signature

在這裏插入圖片描述

四、Header

Header 部分是一個 JSON 對象,描述 JWT 的元數據,通常是下面的樣子。


{

"alg": "HS256",
"typ": "JWT"
}

上面代碼中,alg屬性錶示簽名的算法(algorithm),默認是 HMAC SHA256(寫成 HS256);typ屬性錶示這個令牌(token)的類型(type),JWT 令牌統一寫為JWT。

五、Payload

Payload 部分也是一個 JSON 對象,用來存放實際需要傳遞的數據。JWT 規定了7個官方字段,供選用。

iss (issuer):簽發人
exp (expiration time):過期時間
sub (subject):主題
aud (audience):受眾
nbf (Not Before):生效時間
iat (Issued At):簽發時間
jti (JWT ID):編號

六、Signature

Signature 部分是對前兩部分的簽名,防止數據篡改。

首先,需要指定一個密鑰(secret)。這個密鑰只有服務器才知道,不能泄露給用戶。然後,使用 Header 裏面指定的簽名算法(默認是 HMAC SHA256),按照下面的公式產生簽名。


HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)

算出簽名以後,把 Header、Payload、Signature 三個部分拼成一個字符串,每個部分之間用"點"(.)分隔,就可以返回給用戶。

七、JWT 的使用方式

客戶端收到服務器返回的 JWT,可以儲存在 Cookie 裏面,也可以儲存在 localStorage。

此後,客戶端每次與服務器通信,都要帶上這個 JWT。你可以把它放在 Cookie 裏面自動發送,但是這樣不能跨域,所以更好的做法是放在 HTTP 請求的頭信息Authorization字段裏面。

在這裏插入圖片描述

八、JWT 的幾個特點

(1)JWT 默認是不加密,但也是可以加密的。生成原始 Token 以後,可以用密鑰再加密一次。

(2)JWT 不加密的情况下,不能將秘密數據寫入 JWT。

(3)JWT 不僅可以用於認證,也可以用於交換信息。有效使用 JWT,可以降低服務器查詢數據庫的次數。

(4)JWT 的最大缺點是,由於服務器不保存 session 狀態,因此無法在使用過程中廢止某個 token,或者更改 token 的權限。也就是說,一旦 JWT 簽發了,在到期之前就會始終有效,除非服務器部署額外的邏輯。

(5)JWT 本身包含了認證信息,一旦泄露,任何人都可以獲得該令牌的所有權限。為了减少盜用,JWT 的有效期應該設置得比較短。對於一些比較重要的權限,使用時應該再次對用戶進行認證。

(6)為了减少盜用,JWT 不應該使用 HTTP 協議明碼傳輸,要使用 HTTPS 協議傳輸。

九、基本語法

jwt.sign(payload, secretOrPrivateKey):生成JWT字符串
jwt.verify(token,secretOrPublicKey):驗證token的合法性
jwt.decode(token)

十、後臺生成JWT

let express = require('express');
let cors = require('cors');
let jwt = require('jsonwebtoken');
let app = express();
app.use(cors());
app.use(express.urlencoded({
 extended: false }))
//模擬數據
let users = [{

id: 1,
username: 'Kei',
password: 123
}, {

id: 2,
username: 'Lily',
password: 456
}, {

id: 3,
username: 'Zhang',
password: 789
}]
const secret = 'adjhgfeouwiemvcgdhjhlahujsnjfhdhusjhfdkjjdgjhhhikjm'
app.post('/login', (req, res) => {

let flag = false; //默認失敗
let username = req.body.username;
let password = req.body.password;
for (let i = 0; i < users.length; i++) {

if (users[i].username == username && users[i].password == password) {

flag = true;
res.send({

msg: '登錄成功',
token: jwt.sign({

userinfo: users[i],
exp: new Date().getTime() + 60000
}, secret)
})
return;
} else {

flag = false;
}
}
if (!flag) {

res.send({

msg: '登錄失敗,用戶名或密碼不存在'
})
}
})
app.listen(5000, function() {

console.log(5000);
})
<script>
export default {

data() {

return {

user: '',
pwd: ''
}
},
methods: {

login() {

if (this.user && this.pwd) {

fetch('http://localhost:5000/login', {

method: 'post',
body: 'username=' + this.user + "&password=" + this.pwd,
headers: {

'Content-Type': 'application/x-www-form-urlencoded'
}
})
.then(data => data.json())
.then(data => {

console.log(data);
})
}
}
}
}
</script>

在這裏插入圖片描述

在這裏插入圖片描述

十一、後臺驗證JWT

在這裏插入圖片描述

在這裏插入圖片描述
在這裏插入圖片描述

版权声明:本文为[王同學要努力]所创,转载请带上原文链接,感谢。 https://gsmany.com/2021/09/20210920012004110T.html