共计 3584 个字符,预计需要花费 9 分钟才能阅读完成。
摘要:本文通过实例演示 JWT 实现登录受权流程。通过与传统的 session、cookie 和 token 机制进行比照,剖析其中的优缺点。
JWT 是什么
JSON Web Token(缩写 JWT)是目前最风行的跨域认证解决方案。它是有三局部组成, 示例如下,具体的解说如下 (jwt 是不会有空行的,上面只是为了显示,便应用了换行看着比拟不便)。
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjMfQ.
SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c 它是由一个 ”.” 号隔开、三局部组成。
第一局部是 header 信息,
{
"alg": "HS256",// 加密的算法
"typ": "JWT"// 加密的形式,填写 JWT
}第二局部是 Payload,有固定的六个局部和自定义数据组成, 自定义数据看本人的状况须要来定义,是能够省去的。
'iss' => 'https://www.qqdeveloper.com',// 签发人
'exp' => time() + 86400,// 过期工夫 ( 这里的有效期工夫为 1 天)
'sub' => '主题内容',// 主题
'aud' => '受众内容',// 受众
'nbf' => $time,// 失效工夫
'iat' => $time,// 签发工夫
'jti' => 123,// 编号 第三局部是 Signature(是对前两局部加密得来的)。因为前两局部是公开通明的数据,因而避免数据的篡改和泄露,咱们须要加密解决。首先,须要指定一个密钥(secret)。这个密钥只有服务器才晓得,不能泄露给用户。而后,应用 Header 外面指定的签名算法(默认是 HMAC SHA256),依照上面的公式产生签名。
第一局部的加密形式 (base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)最终生成的就是下面很长的一段字符串了。
为什么会应用 JWT
这就须要从咱们传统的认证模式来说了,传统的认证模式是基于 session 和 cookie 来实现用户的认证和鉴权。具体的流程模式如下图。
(图一)Session 与 Cookie 认证与鉴权
1. 客户端向服务端发送一个 http 申请。
2. 服务端在收到客户端的申请时,生成一个惟一的 sessionid,
这里须要将该生成的 session 存储在服务端, 这个 sessionid 存储具体的 session 内容,默认的是文件存储,当然咱们能够批改具体的存储形式,例如数据库存储。
3. 客户端在承受到这个 sessionid 时,存在 cookie 外面,每次申请时携带该 sessionid。
4. 服务端在接管到客户端的申请之后,依据客户端发送的 sessionid 来进行认证与受权。
这里也举荐一下本人之前分享的一篇无关 session 于 cookie 的知识点。session 与 cookie 详解
(图二) 传统的 token 受权
1. 客户端向服务端发送一个 http 申请。
2. 服务端在收到客户端的申请之后,生成一个惟一 token,
这里须要将该生成的 token 存储在服务端,至于怎么存,能够和下面 session 与 cookie 的形式统一。也能够存在缓存数据库中,如 redis,memcached。
3. 服务端将该 token 返回给客户端,客户端存在本地,能够存申请头 header 中,也能够存在 cookie 中,同时也能够存在 localstorage 中。
4. 向服务端发送申请时,携带该 token,服务端进行认证或者受权。
(图三)JWT 认证模式
1. 客户端向服务端发送一个 http 申请。
2. 服务端依据 jwt 的生成规定,生成一个 token,并返回给客户端,这里服务端是不须要存储的。
3. 客户端在承受到该 token 时,存在客户端。
4. 客户端向服务端发送申请时,服务端对申请的 token 进行解析,如果发现解析进去的数据和生成的数据是统一的代表是一个非法的 token,则进行相应的操作。
基于 session 和 cookie 的认证和鉴权模式有什么好与不好的中央呢?
通过下面几张图,咱们也大抵能够看得出来,基于 session 都是须要服务端存储的,而 JWT 是不须要服务端来存储的。针对以上几点,总结如下:
一、毛病
1. 容易遇到跨域问题。不同域名下是无奈通过 session 间接来做到认证和鉴权的。
2. 分布式部署的零碎,须要应用共享 session 机制
3. 容易呈现 csrf 问题。
二、长处
1. 不便灵便,服务器端间接创立一个 sessionid,下发给客户端,客户端申请携带 sessionid 即可。
2.session 存储在服务端,更加平安。
3. 便于服务端革除 session,让用户从新受权一次。
JWT 与 session 有什么区别呢?
JWT 是基于客户端存储的一种认证形式,然而 session 是基于服务端存储的一种认证形式。JWT 尽管不必服务端存储了,也能够防止跨域、csrf 等状况。但也存在如下几个不太好的中央。
1. 无奈革除认证 token。因为 JWT 生成的 token 都是存储在客户端的,不能有服务端去被动革除,只有直到生效工夫到了能力革除。除非服务端的逻辑做了扭转。
2. 存储在客户端,绝对服务端,安全性更低一些。当 JWT 生成的 token 被破解,咱们不便于革除该 token。
如何应用 JWT
这里举荐应用 GitHub 下面人家封装好的包,这里我应用的是 firebase/php-jwt,在我的项目中间接应用即可装置胜利。
composer require firebase/php-jwt
接下来创立一个控制器, 我这里应用的 ThinkPHP5.1 的框架
use thinkController;
use FirebaseJWTJWT;
class Test extends Controller
{
private $key = 'jwtKey';
// 生成 JWT
public function createJwt(
{$time = time();
$key = $this->key;
$token = [
'iss' => 'https://www.qqdeveloper.com',// 签发人
'exp' => $time + 86400,// 过期工夫 (这里的有效期工夫为 1 天)
'sub' => '主题内容',// 主题
'aud' => '受众内容',// 受众
'nbf' => $time,// 失效工夫
'iat' => $time,// 签发工夫
'jti' => 123,// 编号
// 额定自定义的数据
'data' => ['userName' => 'A 梦多啦 A']];
// 调用生成加密办法 ('Payloadn 内容','加密的键',['加密算法'],['加密的能够'],['JWT 的 header 头'])
$jwt = JWT::encode($token, $key);
return json(['data' => $jwt]);
}
// 解析 JWT
public function analysisJwt()
{
try {
$key = $this->key;
$jwt = 'eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJodHRwOlwvXC9leGFtcGxlLm9yZyIsImV4cCI6MTU2ODA5NjE4MCwic3ViIjoiXHU0ZTNiXHU5ODk4XHU1MTg1XHU1YmI5IiwiYXVkIjoiXHU1M2Q3XHU0ZjE3XHU1MTg1XHU1YmI5IiwibmJmIjoxNTY4MDA5NzgwLCJpYXQiOjE1NjgwMDk3ODAsImp0aSI6MTIzLCJkYXRhIjp7InVzZXJOYW1lIjoiXHU3ZjE2XHU3YTBiXHU2ZDZhXHU1YjUwXHU4ZDcwXHU1NmRiXHU2NWI5In19.kHb_9Np0zjE25YE9czUEGvmFPYtqMJT9tuZzJTuMZl0';
// 调用解密办法 ('JWT 内容','解密的键, 和加密时的加密键始终','加密算法')
$decoded = JWT::decode($jwt, $key, array('HS256'));
return json(['message' => $decoded]);
} catch (Exception $exception) {return json(['message' => $exception->getMessage()]);
}
}
}
通过拜访第一个办法,能够生成下图一段字符串
咱们将上图中的字符串复制到第二图中的 $jwt 变量, 拜访第二个办法即可解析出具体的数据。
本文分享自华为云社区《[图解]JWT 实现用户权限验证体系》,原文作者:A 梦多啦 A。
点击关注,第一工夫理解华为云陈腐技术~