聊聊JWT
随着先后端分离愈来愈普及,传统的基于cookie-session的鉴权方式已经不适用于先后端分离项目了。在鉴权方面,有许多的实现方式,这篇文章不是来对比和介绍各个鉴权方式的优缺点,而是来普及其中之一-JWT。html
更多文章,欢迎关注微信公众号:深夜程猿。 算法
什么是JWT
JWT是JSON Web Token的缩写。 JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,能够在各方之间做为JSON对象安全地传输信息。此信息能够经过数字签名进行验证和信任。 JWT可使用加密算法(例如HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 虽然JWT能够加密以在各方之间提供保密,但咱们将专一于签名令牌。签名令牌能够验证其中包含的声明的完整性,而加密令牌则隐藏其余方的声明。当使用公钥/私钥对签署令牌时,签名还证实只有持有私钥的一方是签署私钥的一方。数据库
JWT的结构
JWT由三部分组成,使用'.'号链接:后端
- Header部分 标头一般由两部分组成:令牌的类型,即JWT,以及正在使用的散列算法,例如HMAC SHA256或RSA。,好比
{ "alg": "HS256", "typ": "JWT" }表示使用了HS256来生成签名。Header部分会使用Base64Url编码设置到JWT的第一部分。 - Payload部分: 令牌的第二部分是有效负载,其中包含声明。声明是关于实体(一般是用户)和其余数据的声明。声明有三种类型:注册,公开和私有声明。
注册声明:这些是一组预约义的声明,它们不是强制性的,可是建议使用,以提供一组有用的,可互操做的声明。其中一些是:iss(发行人),exp(到期时间),sub(主题),aud(观众)等。
公开声明:这些能够由使用JWT的人随意定义。可是为避免冲突,应在IANA JSON Web令牌注册表中定义它们,或者将其定义为包含防冲突命名空间的URI。
私有声明:这些是为在赞成使用它们的各方之间共享信息而建立的自定义声明,既不是注册声明也不是公开声明。
一个Payload示例:
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
复制代码
Payload也会和Header同样Base64Url编码,放在JWT第二部分。
复制代码
- Signature部分: 要建立签名部分,必须采用编码标头(Header),编码的有效负载(Payload),秘钥,标头中指定的算法,并对其进行签名。 例如,若是要使用HMAC SHA256算法,将按如下方式建立签名:
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
复制代码
最后用'.'号把三个部分链接起来就完成了一个完整的JWT。跨域
JWT的用途
认证
这是使用JWT的最多见场景。一旦用户登陆,每一个后续请求将包括JWT,容许用户访问该令牌容许的路由,服务和资源。 单点登陆是一种如今普遍使用JWT的功能,由于它的开销很小,而且可以在不一样的域中轻松使用安全
信息交换
JSON Web Token是在各方之间安全传输信息的好方法。由于JWT能够签名 - 例如,使用公钥/私钥对 - 您能够肯定发件人是他们所说的人。此外,因为使用标头和有效负载计算签名,您还能够验证内容是否未被篡改。bash
JWT工做原理
在身份验证中,当用户使用其凭据成功登陆时,将返回JSON Web令牌。因为令牌是凭证,所以必须很是当心以防止出现安全问题。通常状况下,您不该该将令牌保留的时间超过要求。 每当用户想要访问受保护的路由或资源时,用户代理应该使用承载模式发送JWT,一般在Authorization标头中。标题的内容应以下所示:服务器
Authorization: Bearer <token>
复制代码
在某些状况下,这能够是无状态受权机制。服务器的受保护路由将在Authorization标头中检查有效的JWT,若是存在,则容许用户访问受保护的资源。若是JWT包含必要的数据,则能够减小查询数据库以进行某些操做的须要,尽管可能并不是老是如此。 若是在Authorization标头中发送令牌,则跨域资源共享(CORS)将不会成为问题,由于它不使用cookie。 下图显示了如何获取JWT并用于访问API或资源: 微信
- 应用程序或客户端向受权服务器请求受权。这是经过其中一个不一样的受权流程执行的。例如,典型的OpenID Connect兼容Web应用程序将使用受权代码流经过/ oauth / authorize端点。
- 授予受权后,受权服务器会向应用程序返回访问令牌。
- 应用程序使用访问令牌来访问受保护资源(如API)。 因为JWT会暴露给第三方和用户,因此在生成JWT的时候咱们最好不要把用户隐私数据放进去。
参考连接:Introduction to JSON Web Tokenscookie
- 1. 聊一聊JWT与session
- 2. 聊一聊数据接口的登陆态校验以及JWT
- 3. 简单聊一聊Cookie、Session、Token、JWT的区别和做用
- 4. 聊聊
- 5. 聊聊IOCP,聊聊异步编程
- 6. 聊聊程序员-day2.1 聊一聊Hibernate
- 7. 聊聊OtterController
- 8. 聊聊css hack
- 9. 聊聊HystrixConcurrencyStrategy
- 10. 聊聊 rel=noopener
- 更多相关文章...
- • Mozilla 项目 - 浏览器信息
- • 网站主机 技术 - 网站主机教程
- • 算法总结-深度优先算法
- • 三篇文章了解 TiDB 技术内幕 —— 说计算
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 跳槽面试的几个实用小技巧,不妨看看!
- 2. Mac实用技巧 |如何使用Mac系统中自带的预览工具将图片变成黑白色?
- 3. Mac实用技巧 |如何使用Mac系统中自带的预览工具将图片变成黑白色?
- 4. 如何使用Mac系统中自带的预览工具将图片变成黑白色?
- 5. Mac OS非兼容Windows软件运行解决方案——“以VMware & Microsoft Access为例“
- 6. 封装 pyinstaller -F -i b.ico excel.py
- 7. 数据库作业三ER图待完善
- 8. nvm安装使用低版本node.js(非命令安装)
- 9. 如何快速转换图片格式
- 10. 将表格内容分条转换为若干文档