面试-JWT认证
在先后端分离开发时为何须要用户认证呢?缘由是因为HTTP协定是不储存状态的(stateless),这意味着当咱们透过账号密码验证一个使用者时,当下一个request请求时它就把刚刚的资料忘了。因而咱们的程序就不知道谁是谁,就要再验证一次。因此为了保证系统安全,咱们就须要验证用户否处于登陆状态。前端
传统方式
先后端分离经过Restful API进行数据交互时,如何验证用户的登陆信息及权限。在原来的项目中,使用的是最传统也是最简单的方式,前端登陆,后端根据用户信息生成一个token,并保存这个 token 和对应的用户id到数据库或Session中,接着把 token 传给用户,存入浏览器 cookie,以后浏览器请求带上这个cookie,后端根据这个cookie值来查询用户,验证是否过时。算法
但这样作问题就不少,若是咱们的页面出现了 XSS 漏洞,因为 cookie 能够被 JavaScript 读取,XSS 漏洞会致使用户 token 泄露,而做为后端识别用户的标识,cookie 的泄露意味着用户信息再也不安全。尽管咱们经过转义输出内容,使用 CDN 等能够尽可能避免 XSS 注入,但谁也不能保证在大型的项目中不会出现这个问题。数据库
在设置 cookie 的时候,其实你还能够设置 httpOnly 以及 secure 项。设置 httpOnly 后 cookie 将不能被 JS 读取,浏览器会自动的把它加在请求的 header 当中,设置 secure 的话,cookie 就只容许经过 HTTPS 传输。secure 选项能够过滤掉一些使用 HTTP 协议的 XSS 注入,但并不能彻底阻止。json
httpOnly 选项使得 JS 不能读取到 cookie,那么 XSS 注入的问题也基本不用担忧了。但设置 httpOnly 就带来了另外一个问题,就是很容易的被 XSRF,即跨站请求伪造。当你浏览器开着这个页面的时候,另外一个页面能够很容易的跨站请求这个页面的内容。由于 cookie 默认被发了出去。后端
另外,若是将验证信息保存在数据库中,后端每次都须要根据token查出用户id,这就增长了数据库的查询和存储开销。若把验证信息保存在session中,有加大了服务器端的存储压力。那咱们可不能够不要服务器去查询呢?若是咱们生成token遵循必定的规律,好比咱们使用对称加密算法来加密用户id造成token,那么服务端之后其实只要解密该token就能够知道用户的id是什么了。不过呢,我只是举个例子而已,要是真这么作,只要你的对称加密算法泄露了,其余人能够经过这种加密方式进行伪造token,那么全部用户信息都再也不安全了。恩,那用非对称加密算法来作呢,其实如今有个规范就是这样作的,就是咱们接下来要介绍的 JWT。浏览器
Json Web Token(JWT)
JWT 是一个开放标准(RFC 7519),它定义了一种用于简洁,自包含的用于通讯双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。它具有两个特色:缓存
-
简洁(Compact)安全
能够经过URL, POST 参数或者在 HTTP header 发送,由于数据量小,传输速度快服务器
-
自包含(Self-contained)cookie
负载中包含了全部用户所须要的信息,避免了屡次查询数据库
JWT 组成
- Header 头部
头部包含了两部分,token 类型和采用的加密算法
{ "alg": "HS256", "typ": "JWT" }
它会使用 Base64 编码组成 JWT 结构的第一部分,若是你使用Node.js,能够用Node.js的包base64url来获得这个字符串。
Base64是一种编码,也就是说,它是能够被翻译回原来的样子来的。它并非一种加密过程。
- Payload 负载
这部分就是咱们存放信息的地方了,你能够把用户 ID 等信息放在这里,JWT 规范里面对这部分有进行了比较详细的介绍,经常使用的由 iss(签发者),exp(过时时间),sub(面向的用户),aud(接收方),iat(签发时间)。
{ "iss": "lion1ou JWT", "iat": 1441593502, "exp": 1441594722, "aud": "www.example.com", "sub": "lion1ou@163.com" }
一样的,它会使用 Base64 编码组成 JWT 结构的第二部分
- Signature 签名
前面两部分都是使用 Base64 进行编码的,即前端能够解开知道里面的信息。Signature 须要使用编码后的 header 和 payload 以及咱们提供的一个密钥,而后使用 header 中指定的签名算法(HS256)进行签名。签名的做用是保证 JWT 没有被篡改过。
三个部分经过.链接在一块儿就是咱们的 JWT 了,它可能长这个样子,长度貌似和你的加密算法和私钥有关系。
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6IjU3ZmVmMTY0ZTU0YWY2NGZmYzUzZGJkNSIsInhzcmYiOiI0ZWE1YzUwOGE2NTY2ZTc2MjQwNTQzZjhmZWIwNmZkNDU3Nzc3YmUzOTU0OWM0MDE2NDM2YWZkYTY1ZDIzMzBlIiwiaWF0IjoxNDc2NDI3OTMzfQ.PA3QjeyZSUh7H0GfE0vJaKW4LjKJuC3dVLQiY4hii8s
其实到这一步可能就有人会想了,HTTP 请求总会带上 token,这样这个 token 传来传去占用没必要要的带宽啊。若是你这么想了,那你能够去了解下 HTTP2,HTTP2 对头部进行了压缩,相信也解决了这个问题。
- 签名的目的
最后一步签名的过程,其实是对头部以及负载内容进行签名,防止内容被窜改。若是有人对头部以及负载的内容解码以后进行修改,再进行编码,最后加上以前的签名组合造成新的JWT的话,那么服务器端会判断出新的头部和负载造成的签名和JWT附带上的签名是不同的。若是要对新的头部和负载进行签名,在不知道服务器加密时用的密钥的话,得出来的签名也是不同的。
- 信息暴露
在这里你们必定会问一个问题:Base64是一种编码,是可逆的,那么个人信息不就被暴露了吗?
是的。因此,在JWT中,不该该在负载里面加入任何敏感的数据。在上面的例子中,咱们传输的是用户的User ID。这个值实际上不是什么敏感内容,通常状况下被知道也是安全的。可是像密码这样的内容就不能被放在JWT中了。若是将用户的密码放在了JWT中,那么怀有恶意的第三方经过Base64解码就能很快地知道你的密码了。
所以JWT适合用于向Web应用传递一些非敏感信息。JWT还常常用于设计用户认证和受权系统,甚至实现Web应用的单点登陆。
JWT 使用
- 首先,前端经过Web表单将本身的用户名和密码发送到后端的接口。这一过程通常是一个HTTP POST请求。建议的方式是经过SSL加密的传输(https协议),从而避免敏感信息被嗅探。
- 后端核对用户名和密码成功后,将用户的id等其余信息做为JWT Payload(负载),将其与头部分别进行Base64编码拼接后签名,造成一个JWT。造成的JWT就是一个形同lll.zzz.xxx的字符串。
- 后端将JWT字符串做为登陆成功的返回结果返回给前端。前端能够将返回的结果保存在localStorage或sessionStorage上,退出登陆时前端删除保存的JWT便可。
- 前端在每次请求时将JWT放入HTTP Header中的Authorization位。(解决XSS和XSRF问题)
- 后端检查是否存在,如存在验证JWT的有效性。例如,检查签名是否正确;检查Token是否过时;检查Token的接收方是不是本身(可选)。
- 验证经过后后端使用JWT中包含的用户信息进行其余逻辑操做,返回相应结果。
和Session方式存储id的差别
Session方式存储用户id的最大弊病在于Session是存储在服务器端的,因此须要占用大量服务器内存,对于较大型应用而言可能还要保存许多的状态。通常而言,大型应用还须要借助一些KV数据库和一系列缓存机制来实现Session的存储。
而JWT方式将用户状态分散到了客户端中,能够明显减轻服务端的内存压力。除了用户id以外,还能够存储其余的和用户相关的信息,例如该用户是不是管理员、用户所在的分组等。虽然说JWT方式让服务器有一些计算压力(例如加密、编码和解码),可是这些压力相比磁盘存储而言可能就不算什么了。具体是否采用,须要在不一样场景下用数听说话。
- 单点登陆
Session方式来存储用户id,一开始用户的Session只会存储在一台服务器上。对于有多个子域名的站点,每一个子域名至少会对应一台不一样的服务器,例如:www.taobao.com,nv.taobao.com,nz.taobao.com,login.taobao.com。因此若是要实如今login.taobao.com登陆后,在其余的子域名下依然能够取到Session,这要求咱们在多台服务器上同步Session。使用JWT的方式则没有这个问题的存在,由于用户的状态已经被传送到了客户端。
总结
JWT的主要做用在于(一)可附带用户信息,后端直接经过JWT获取相关信息。(二)使用本地保存,经过HTTP Header中的Authorization位提交验证。但其实关于JWT存放到哪里一直有不少讨论,有人说存放到本地存储,有人说存 cookie。我的偏向于放在本地存储,若是你有什么意见和见解欢迎提出。