原文:https://www.jianshu.com/p/47b2d2f92add
作者:高廣超
系統開發來講,安全驗證永遠是最重要的,從最原始的session、cookie驗證方式,到符合restful風格、滿足前後端分離需求、啟用https請求,各方面都在不斷變化中。
概念
JWT是一種用於雙方之間傳遞安全信息的簡潔的、URL安全的表述性聲明規範。JWT作為一個開放的標準( RFC 7519 ),定義了一種簡潔的,自包含的方法用於通信雙方之間以Json對象的形式安全的傳遞信息。因為數字簽名的存在,這些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私祕鑰對進行簽名。
- 簡潔(Compact): 可以通過URL,POST參數或者在HTTP header發送,因為數據量小,傳輸速度也很快
- 自包含(Self-contained):負載中包含了所有用戶所需要的信息,避免了多次查詢數據庫
JWT的主要應用場景
身份認證
在這種場景下,一旦用戶完成了登陸,在接下來的每個請求中包含JWT,可以用來驗證用戶身份以及對路由,服務和資源的訪問權限進行驗證。由於它的開銷非常小,可以輕鬆的在不同域名的系統中傳遞,所有目前在單點登錄(SSO)中比較廣泛的使用了該技術。
信息交換
在通信的雙方之間使用JWT對數據進行編碼是一種非常安全的方式,由於它的信息是經過簽名的,可以確保發送者發送的信息是沒有經過偽造的。
JWT的結構
加密後jwt信息如下所示,是由.分割的三部分組成,分別為Header、Payload、Signature。
其結構看起來是這樣的
xxxxx.yyyyy.zzzzz
Header
Header包含兩部分信息,alg指加密類型,可選值為HS256、RSA等等,typ=JWT為固定值,表示token的類型。
{
"alg": "HS256",
"typ": "JWT"
}
Payload
Payload是指簽名信息以及內容,一般包括iss (發行者), exp (過期時間), sub(用戶信息), aud (接收者),以及其他信息,詳細介紹請參考官網。
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
Signature
Signature則為對Header、Payload的簽名。
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
如何使用JWT?
在身份鑑定的實現中,傳統方法是在服務端存儲一個session,給客戶端返回一個cookie,而使用JWT之後,當用戶使用它的認證信息登陸系統之後,會返回給用戶一個JWT,用戶只需要本地保存該token(通常使用local storage,也可以使用cookie)即可。
當用戶希望訪問一個受保護的路由或者資源的時候,通常應該在 Authorization 頭部使用 Bearer 模式添加JWT,其內容看起來是下面這樣:
Authorization: Bearer <token>
因為用戶的狀態在服務端的內存中是不存儲的,所以這是一種 無狀態 的認證機制。服務端的保護路由將會檢查請求頭 Authorization 中的JWT信息,如果合法,則允許用戶的行為。由於JWT是自包含的,因此減少了需要查詢數據庫的需要。
JWT的這些特性使得我們可以完全依賴其無狀態的特性提供數據API服務,甚至是創建一個下載流服務。因為JWT並不使用Cookie的,所以你可以使用任何域名提供你的API服務而不需要擔心跨域資源共享問題(CORS)。
在jwt官網,可以看到有不同語言的實現版本,這裡使用的是java版的jjwt。話不多說,直接看代碼,加解密都很簡單:
/**
* 創建 jwt
* @param id
* @param subject
* @param ttlMillis
* @return
* @throws Exception
*/
public String createJWT(String id, String subject, long ttlMillis) throws Exception {
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256 ;
long nowMillis = System. currentTimeMillis();
Date now = new Date( nowMillis);
SecretKey key = generalKey();
JwtBuilder builder = Jwts. builder()
.setId(id)
.setIssuedAt(now)
.setSubject(subject)
.signWith(signatureAlgorithm, key);
if (ttlMillis >= 0){
long expMillis = nowMillis + ttlMillis;
Date exp = new Date( expMillis);
builder.setExpiration( exp);
}
return builder.compact();
}
/**
* 解密 jwt
* @param jwt
* @return
* @throws Exception
*/
public Claims parseJWT(String jwt) throws Exception{
SecretKey key = generalKey();
Claims claims = Jwts. parser()
.setSigningKey( key)
.parseClaimsJws( jwt).getBody();
return claims;
}
加解密的key是通過固定字符串轉換而生成的;subject為用戶信息的json字符串;ttlMillis是指token的有效期,時間較短,需要定時更新。
這裡要介紹的token刷新方式,是在生成token的同時生成一個有效期較長的refreshToken,後續由客戶端定時根據refreshToken來獲取最新的token。瀏覽器與服務端之間建立sse(server send event)請求,來實現刷新。