JWT 简介
本文翻译自JWT官方网站对JWT是什么以及能作什么的简介。html
JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT做为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通讯双方之间以Json对象的形式安全的传递信息。由于数字签名的存在,这些信息是可信的,JWT可使用HMAC算法或者是RSA的公私秘钥对进行签名。算法
简洁(Compact): 能够经过URL,POST参数或者在HTTP header发送,由于数据量小,传输速度也很快数据库
自包含(Self-contained):负载中包含了全部用户所须要的信息,避免了屡次查询数据库编程
JWT的主要应用场景
身份认证
在这种场景下,一旦用户完成了登录,在接下来的每一个请求中包含JWT,能够用来验证用户身份以及对路由,服务和资源的访问权限进行验证。因为它的开销很是小,能够轻松的在不一样域名的系统中传递,全部目前在单点登陆(SSO)中比较普遍的使用了该技术。跨域信息交换
在通讯的双方之间使用JWT对数据进行编码是一种很是安全的方式,因为它的信息是通过签名的,能够确保发送者发送的信息是没有通过伪造的。安全
JWT的结构
JWT包含了使用.分隔的三部分:cookie
Header 头部session
Payload 负载编程语言
Signature 签名网站
其结构看起来是这样的
xxxxx.yyyyy.zzzzz
Header
在header中一般包含了两部分:token类型和采用的加密算法。
{
"alg": "HS256",
"typ": "JWT"
}
接下来对这部份内容使用 Base64Url 编码组成了JWT结构的第一部分。
Payload
Token的第二部分是负载,它包含了claim, Claim是一些实体(一般指的用户)的状态和额外的元数据,有三种类型的claim: reserved, public 和 private.
Reserved claims: 这些claim是JWT预先定义的,在JWT中并不会强制使用它们,而是推荐使用,经常使用的有
iss(签发者),exp(过时时间戳),sub(面向的用户),aud(接收方),iat(签发时间)。Public claims:根据须要定义本身的字段,注意应该避免冲突
Private claims:这些是自定义的字段,能够用来在双方之间交换信息
负载使用的例子:
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
上述的负载须要通过Base64Url编码后做为JWT结构的第二部分。
Signature
建立签名须要使用编码后的header和payload以及一个秘钥,使用header中指定签名算法进行签名。例如若是但愿使用HMAC SHA256算法,那么签名应该使用下列方式建立:
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
签名用于验证消息的发送者以及消息是没有通过篡改的。
完整的JWT
JWT格式的输出是以.分隔的三段Base64编码,与SAML等基于XML的标准相比,JWT在HTTP和HTML环境中更容易传递。
下列的JWT展现了一个完整的JWT格式,它拼接了以前的Header, Payload以及秘钥签名:
如何使用JWT?
在身份鉴定的实现中,传统方法是在服务端存储一个session,给客户端返回一个cookie,而使用JWT以后,当用户使用它的认证信息登录系统以后,会返回给用户一个JWT,用户只须要本地保存该token(一般使用local storage,也可使用cookie)便可。
当用户但愿访问一个受保护的路由或者资源的时候,一般应该在Authorization头部使用Bearer模式添加JWT,其内容看起来是下面这样:
Authorization: Bearer <token>
由于用户的状态在服务端的内存中是不存储的,因此这是一种无状态的认证机制。服务端的保护路由将会检查请求头Authorization中的JWT信息,若是合法,则容许用户的行为。因为JWT是自包含的,所以减小了须要查询数据库的须要。
JWT的这些特性使得咱们能够彻底依赖其无状态的特性提供数据API服务,甚至是建立一个下载流服务。由于JWT并不使用Cookie的,因此你可使用任何域名提供你的API服务而不须要担忧跨域资源共享问题(CORS)。
下面的序列图展现了该过程:
为何要使用JWT?
相比XML格式,JSON更加简洁,编码以后更小,这使得JWT比SAML更加简洁,更加适合在HTML和HTTP环境中传递。
在安全性方面,SWT只可以使用HMAC算法和共享的对称秘钥进行签名,而JWT和SAML token则可使用X.509认证的公私秘钥对进行签名。与简单的JSON相比,XML和XML数字签名会引入复杂的安全漏洞。
由于JSON能够直接映射为对象,在大多数编程语言中都提供了JSON解析器,而XML则没有这么天然的文档-对象映射关系,这就使得使用JWT比SAML更方便。
- 1. JWT简介
- 2. JWT 简介
- 3. DRF之JWT简介
- 4. JWT简单介绍
- 5. spring cloud oauth2 jwt 简介
- 6. JWT的简单介绍
- 7. JWT简介json web token bear token
- 8. JWT(JSON Web Token)原理简介
- 9. jwt介绍
- 10. Jwt简术
- 更多相关文章...
- • Scala 简介 - Scala教程
- • AJAX 简介 - PHP教程
- • Github 简明教程
- • Java Agent入门实战(一)-Instrumentation介绍与使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. JWT简介
- 2. JWT 简介
- 3. DRF之JWT简介
- 4. JWT简单介绍
- 5. spring cloud oauth2 jwt 简介
- 6. JWT的简单介绍
- 7. JWT简介json web token bear token
- 8. JWT(JSON Web Token)原理简介
- 9. jwt介绍
- 10. Jwt简术