JWT应用

调试器 库 简介 问 一件T恤！

精心制做

JSON Web令牌简介

新：免费得到JWT手册并深刻学习JWT！

什么是JSON Web Token？

JSON Web Token（JWT）是一个开放标准（RFC 7519），它定义了一种紧凑且独立的方式，能够在各方之间做为JSON对象安全地传输信息。此信息能够经过数字签名进行验证和信任。JWT可使用秘密（使用HMAC算法）或使用RSA或ECDSA的公钥/私钥对进行签名。

虽然JWT能够加密以在各方之间提供保密，但咱们将专一于签名令牌。签名令牌能够验证其中包含的声明的完整性，而加密令牌则隐藏其余方的声明。当使用公钥/私钥对签署令牌时，签名还证实只有持有私钥的一方是签署私钥的一方。

何时应该使用JSON Web令牌？

如下是JSON Web令牌有用的一些场景：

• 受权：这是使用JWT的最多见方案。一旦用户登陆，每一个后续请求将包括JWT，容许用户访问该令牌容许的路由，服务和资源。Single Sign On是一种如今普遍使用JWT的功能，由于它的开销很小，而且可以在不一样的域中轻松使用。

• 信息交换：JSON Web令牌是在各方之间安全传输信息的好方法。由于JWT能够签名 - 例如，使用公钥/私钥对 - 您能够肯定发件人是他们所说的人。此外，因为使用标头和有效负载计算签名，您还能够验证内容是否未被篡改。

什么是JSON Web令牌结构？

在紧凑的形式中，JSON Web令牌由三个部分组成（由点（.）分隔，它们是：

• 头
• 有效载荷
• 签名

所以，JWT一般以下所示。

xxxxx.yyyyy.zzzzz

让咱们分解不一样的部分。

头

标头一般由两部分组成：令牌的类型，即JWT，以及正在使用的散列算法，例如HMAC SHA256或RSA。

例如：

{
  "alg": "HS256",
  "typ": "JWT"
}

而后，这个JSON被编码为Base64Url，造成JWT的第一部分。

有效载荷

令牌的第二部分是有效负载，其中包含声明。声明是关于实体（一般是用户）和其余数据的声明。索赔有三种类型：注册，公开和私人索赔。

• 已注册的声明：这些是一组预约义声明，不是强制性的，但建议使用，以提供一组有用的，可互操做的声明。其中一些是： iss（发行人）， exp（到期时间）， sub（主题）， aud（观众）等。

  请注意，声明名称只有三个字符，由于JWT意味着紧凑。

• 公开声明：这些能够由使用JWT的人随意定义。可是为避免冲突，应在 IANA JSON Web令牌注册表中定义它们，或者将其定义为包含防冲突命名空间的URI。

• 私人索赔：这是建立共享使用它们赞成并既不是当事人之间的信息自定义声明注册或公众的权利要求。

示例有效负载能够是：

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

而后，有效负载通过Base64Url编码，造成JSON Web令牌的第二部分。

请注意，对于签名令牌，此信息虽然能够防止被篡改，但任何人均可以读取。除非加密，不然不要将秘密信息放在JWT的有效负载或头元素中。

签名

要建立签名部分，您必须采用编码标头，编码的有效负载，秘密，标头中指定的算法，并对其进行签名。

例如，若是要使用HMAC SHA256算法，将按如下方式建立签名：

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

签名用于验证消息在此过程当中未被更改，而且，在使用私钥签名的令牌的状况下，它还能够验证JWT的发件人是不是它所声称的人。

把全部人放在一块儿

输出是三个由点分隔的Base64-URL字符串，能够在HTML和HTTP环境中轻松传递，与SAML等基于XML的标准相比更加紧凑。

下面显示了一个JWT，它具备先前的头和​​有效负载编码，并使用机密签名。 

若是您想使用JWT并将这些概念付诸实践，您可使用jwt.io Debugger来解码，验证和生成JWT。

JSON Web令牌如何工做？

在身份验证中，当用户使用其凭据成功登陆时，将返回JSON Web令牌。因为令牌是凭证，所以必须很是当心以防止出现安全问题。通常状况下，您不该该将令牌保留的时间超过要求。

每当用户想要访问受保护的路由或资源时，用户代理应该使用承载模式发送JWT，一般在Authorization标头中。标题的内容应以下所示：

Authorization: Bearer <token>

在某些状况下，这能够是无状态受权机制。服务器的受保护路由将检查Authorization标头中的有效JWT ，若是存在，则容许用户访问受保护资源。若是JWT包含必要的数据，则能够减小查询数据库以进行某些操做的须要，尽管可能并不是老是如此。

若是在标Authorization头中发送令牌，则跨域资源共享（CORS）将不会成为问题，由于它不使用cookie。

下图显示了如何获取JWT并用于访问API或资源：

1. 应用程序或客户端向受权服务器请求受权。这是经过其中一个不一样的受权流程执行的。例如，典型的OpenID Connect兼容Web应用程序将/oauth/authorize使用受权代码流经过端点。
2. 授予受权后，受权服务器会向应用程序返回访问令牌。
3. 应用程序使用访问令牌来访问受保护资源（如API）。

请注意，使用签名令牌，令牌中包含的全部信息都会向用户或其余方公开，即便他们没法更改。这意味着您不该该在令牌中放置秘密信息。

咱们为何要使用JSON Web令牌？

让咱们来谈谈与简单Web令牌（SWT）和安全断言标记语言令牌（SAML）相比，JSON Web令牌（JWT）的好处。

因为JSON比XML简洁，所以在编码时它的大小也更小，使得JWT比SAML更紧凑。这使得JWT成为在HTML和HTTP环境中传递的不错选择。

在安全方面，SWT只能使用HMAC算法经过共享密钥对称签名。可是，JWT和SAML令牌可使用X.509证书形式的公钥/私钥对进行签名。与签名JSON的简单性相比，使用XML数字签名对XML进行签名而不会引入模糊的安全漏洞很是困难。

JSON解析器在大多数编程语言中很常见，由于它们直接映射到对象。相反，XML没有天然的文档到对象映射。这使得使用JWT比使用SAML断言更容易。

关于使用，JWT用于互联网规模。这突出了在多个平台（尤为是移动平台）上轻松进行JSON Web令牌的客户端处理。

比较编码的JWT和编码的SAML的长度

若是您想了解有关JSON Web Tokens的更多信息，甚至开始使用它们在您本身的应用程序中执行身份验证，请浏览到Auth0 上的JSON Web Token登陆页面。

当即开始使用JWT

开始使用该工具

JWT.io由Auth0带给您

使用Auth0在任何堆栈和任何设备上使用JWT在不到10分钟的时间内安全地实现身份验证。

建立免费账户

建立了令牌

 

支持者

遗漏了什么？ 发送拉取请求 -  许可证

关注@ auth0