什么是JWT
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。前端
JWT的声明通常被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也能够增长一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。java
JWT的构成python
第一部分咱们称它为头部(header)web
第二部分咱们称其为载荷(payload)面试
第三部分是签证(signature).算法
header:
jwt的头部承载两部分信息:json
声明类型,这里是jwt小程序
声明加密的算法 一般直接使用 HMAC SHA256缓存
完整的头部就像下面这样的JSON:安全
而后将头部进行base64加密(该加密是能够对称解密的),构成了第一部分.
playload:
载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分
标准中注册的声明
公共的声明
私有的声明
标准中注册的声明 (建议但不强制使用) :
iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过时时间,这个过时时间必需要大于签发时间
nbf: 定义在什么时间以前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的惟一身份标识,主要用来做为一次性token,从而回避重放攻击。
公共的声明 :
公共的声明能够添加任何的信息,通常添加用户的相关信息或其余业务须要的必要信息.但不建议添加敏感信息,由于该部分在客户端可解密.
私有的声明 :
私有声明是提供者和消费者所共同定义的声明,通常不建议存放敏感信息,由于base64是对称解密的,意味着该部分信息能够归类为明文信息。
定义一个payload:
而后将其进行base64加密,获得Jwt的第二部分。
signature:
jwt的第三部分是一个签证信息,这个签证信息由三部分组成:
header (base64后的)
payload (base64后的)
secret
这个部分须要base64加密后的header和base64加密后的payload使用.链接组成的字符串,而后经过header中声明的加密方式进行加密 secret组合加密,而后就构成了jwt的第三部分。
将这三部分用.链接成一个完整的字符串,构成了最终的jwt:
注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,
因此,它就是你服务端的私钥,在任何场景都不该该流露出去。一旦客户端得知这个secret, 那就意味着客户端是能够自我签发jwt了。
如何应用
在请求头里加入Authorization,并加上Token标注:
headers: { 'Authorization': 'Token' + token
服务端会验证token,若是验证经过就会返回相应的资源。整个流程就是这样的:
总结
优势
由于json的通用性,因此JWT是能够进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等不少语言均可以使用。
由于有了payload部分,因此JWT能够在自身存储一些其余业务逻辑所必要的非敏感信息。
便于传输,jwt的构成很是简单,字节占用很小,因此它是很是便于传输的。
它不须要在服务端保存会话信息, 因此它易于应用的扩展
安全相关
不该该在jwt的payload部分存放敏感信息,由于该部分是客户端可解密的部分。
保护好secret私钥,该私钥很是重要。
若是能够,请使用https协议
在公众号菜单中可自行获取专属架构视频资料,包括不限于 java架构、python系列、人工智能系列、架构系列,以及最新面试、小程序、大前端均无私奉献,你会感谢个人哈
往期热门文章:
1,架构的本质:如何打造一个有序的系统?
2,
分布式高可靠之负载均衡,今天看了你确定会
3,
分布式数据之缓存技术,一块儿来揭开其神秘面纱
4,分布式数据复制技术,今天就教你真正分身术
5,
数据分布方式之哈希与一致性哈希,我就是个神算子
6
,分布式存储系统三要素,掌握这些就离成功不远了
7
,想要设计一个好的分布式系统,必须搞定这个理论
8
,
分布式通讯技术之发布订阅,干货满满
9,
分布式通讯技术之远程调用:RPC
10
,秒杀系统每秒上万次下单请求,咱们该怎么去设计
本文分享自微信公众号 - 架构师修炼(jiagouxiulian)。
若有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。