全栈之初识JWT -- Web安全的守护神

1、JWT 简介

JSON Web Token（JWT）是目前最流行的跨域身份验证解决方案。 JWT 是一个很是轻巧的规范。这个规范容许咱们使用JWT在用户和服务器之间传递安全可靠的信息。

2、解析 JWT

一个JWT实际上就是一个字符串

• eg：

  eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VySWQiOiIxMDAiLCJ1c2VybmFtZSI6IlpoYW5nU2FuIiwiaXNBZG1pbiI6dHJ1ZX0=.A3zvuB-qhP_oQGxCqeJ1c6uQUNAaaVOcAnMwWVeo5Qg复制代码

  字符之间经过"."分隔符分为三个子串，它由三部分组成，头部(header)、载荷(payload) 与 签名(signature)。
  • 组成：

    头部(header) + "." + 载荷(payload) + "." + 签名(signature)复制代码

    把它分红三段展现

    // 头部(header) 
    eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
    // 载荷(payload)
    eyJ1c2VySWQiOiIxMDAiLCJ1c2VybmFtZSI6IlpoYW5nU2FuIiwiaXNBZG1pbiI6dHJ1ZX0=
    // 签名(signature)
    A3zvuB-qhP_oQGxCqeJ1c6uQUNAaaVOcAnMwWVeo5Qg复制代码

一、头部（Header）

头部用于描述关于该JWT的最基本的信息，例如其类型以及签名所用的算法等。这也能够被表示成一个JSON对象。

{"typ":"JWT","alg":"HS256"}复制代码

在头部指明了签名算法是HS256算法。 咱们进行BASE64编码www.bejson.com/enc/base64/，编码后的字符串以下：

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9复制代码

二、载荷（playload）

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品，这些有效信息包含三个部分

（1）标准中注册的声明（建议但不强制使用）

iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过时时间，这个过时时间必需要大于签发时间
nbf: 定义在什么时间以前，该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的惟一身份标识，主要用来做为一次性token。复制代码

（2）公共的声明

公共的声明能够添加任何的信息，通常添加用户的相关信息或其余业务须要的必要信息.但不建议添加敏感信息，由于该部分在客户端可解密.

（3）私有的声明

私有声明是提供者和消费者所共同定义的声明，通常不建议存放敏感信息，由于base64是对称解密的，意味着该部分信息能够归类为明文信息。

这个指的就是自定义的claim。好比前面那个结构举例中的admin和name都属于自定的claim。这些claim跟JWT标准规定的claim区别在于：JWT规定的claim，JWT的接收方在拿到JWT以后，都知道怎么对这些标准的claim进行验证(还不知道是否可以验证)；而private claims不会验证，除非明确告诉接收方要对这些claim进行验证以及规则才行。

• 定义一个payload:

  {"userId":"100","username":"ZhangSan","isAdmin":true}复制代码

• 而后将其进行base64加密，获得Jwt的第二部分。

  eyJ1c2VySWQiOiIxMDAiLCJ1c2VybmFtZSI6IlpoYW5nU2FuIiwiaXNBZG1pbiI6dHJ1ZX0=复制代码

  三、签名（signature）

jwt的第三部分是一个签名信息，是对上面两部分数据签名，经过指定的算法生成哈希，以确保数据不会被篡改。

首先，须要指定一个密码（secret）。该密码仅仅为保存在服务器中，而且不能向用户公开。而后，使用标头中指定的签名算法（默认状况下为HMAC SHA256）根据如下公式生成签名。

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)复制代码

这个部分须要base64加密后的header和base64加密后的payload使用.链接组成的字符串，而后经过header中声明的加密方式进行加盐secret组合加密，而后就构成了jwt的第三部分。

• eg :

  A3zvuB-qhP_oQGxCqeJ1c6uQUNAaaVOcAnMwWVeo5Qg复制代码

  注意：secret是保存在服务器端的，jwt的签发生成也是在服务器端的，secret就是用来进行jwt的签发和jwt的验证，因此，它就是你服务端的私钥，在任何场景都不该该流露出去。一旦客户端得知这个secret, 那就意味着客户端是能够自我签发jwt了。

3、JWT的用法

客户端接收服务器返回的JWT，将其存储在Cookie或localStorage中。

此后，客户端将在与服务器交互中都会带JWT。若是将它存储在Cookie中，就能够自动发送，可是不会跨域，所以通常是将它放入HTTP请求的Header Authorization字段中。

Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VySWQiOiIxMDAiLCJ1c2VybmFtZSI6IlpoYW5nU2FuIiwiaXNBZG1pbiI6dHJ1ZX0=.A3zvuB-qhP_oQGxCqeJ1c6uQUNAaaVOcAnMwWVeo5Qg复制代码

当跨域时，也能够将JWT被放置于POST请求的数据主体中。

4、JWT问题和趋势

一、JWT默认不加密，但能够加密。生成原始令牌后，可使用改令牌再次对其进行加密。

二、当JWT未加密方法是，一些私密数据没法经过JWT传输。

三、JWT不只可用于认证，还可用于信息交换。善用JWT有助于减小服务器请求数据库的次数。

四、JWT的最大缺点是服务器不保存会话状态，因此在使用期间不可能取消令牌或更改令牌的权限。也就是说，一旦JWT签发，在有效期内将会一直有效。

五、JWT自己包含认证信息，所以一旦信息泄露，任何人均可以得到令牌的全部权限。为了减小盗用，JWT的有效期不宜设置太长。对于某些重要操做，用户在使用时应该每次都进行进行身份验证。

六、为了减小盗用和窃取，JWT不建议使用HTTP协议来传输代码，而是使用加密的HTTPS协议进行传输。

---

若是想继续学习 Passport 请查看我另一篇文章： 全栈之初识 Passport & Passport-jwt -- Web安全的守护神 若是想继续学习 JWT && Passport 联合应用 请查看我另一篇文章： 全栈之鉴权之旅 -- JWT + passport 实现 Token 验证（Node + Express）

---

以为有帮助的小伙伴右上角点个赞~

扫描上方二维码关注个人订阅号~

本文由博客一文多发平台 OpenWrite 发布！