乐趣区

了解-JWT

JWT 官网:https://jwt.io/

一:JWT 简介

JWT 全名 JSON WEB TOKEN,是一个 JSON 网络令牌,JWT 是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式在不同实体之间安全传输信息(JSON 格式)。它是在 Web 环境下两个实体之间传输数据的一项标准。实际上传输的就是一个字符串。广义上讲 JWT 是一个标准的名称;狭义上 JWT 指的就是用来传递的那个 token 字符串

二:JWT 作用

由于 http 协议是无状态的,所以客户端每次访问都是新的请求。这样每次请求都需要验证身份,传统方式是用 session+cookie 来记录 / 传输用户信息,而 JWT 就是更安全方便的方式。它的特点就是简洁,紧凑和自包含,而且不占空间,传输速度快, 而且有利于多端分离,接口的交互等等,JWT 是一种 Token 规范,主要面向的还是登录、验证和授权方向,当然也可以用只来传递信息。一般都是存在 header 里

三:JWT 结构

JWT 一共分为三个部分:Header(头部) . Payload(负载) . Signature(签名) ;

1:Header(头部)

Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子:

{
  "alg": "HS256",
  "typ": "JWT"
}

字段 全称 描述
alg algorithm 是签名的算法;一般是 HS256
typ type 固定值为 JWT
二:PayLoad(负载)
Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了 7 个官方字段,供选用:

{
    "iss": "d8b832c0c8caf0d99e9406ed",
    "sub": "1",
    "aud": "baijunyao",
    "iat": "1557066830",
    "nbf": "1557066840",
    "exp": "1557066850",
    "jti": "9e9668d8b8306ed8caf0d94"
}

字段 全称 描述
iss issuer 发布者
sub subject 面向的用户
aud audience 受众
iat issued at 签发时间的时间戳
nbf not before 生效时间的时间戳
exp expiration time 过期时间的时间戳
jti jwt id 每个 JWT 自己的唯一 id
除了官方定义的这些字段,我们也可以自己定义一些自己需要的字段

三:Signature(签名)

Signature 部分是对前两部分的签名,防止数据篡改,默认使用 HS256 算法进行签名;

签名的方式是把 头部和负载分别 base64UrlEncode 后用 . 拼接起来使用 Secret 进行 HS256;

Signature = HS256(base64UrlEncode(Header) . base64UrlEncode(Payload), Secret)

四:JWT

JWT 一共由 Header(头部) . Payload(负载) . Signature(签名) 组成,我们把 base64UrlEncode 的头部和负载以及签名用 . 拼接起来就是一个 JWT 了

JWT = base64UrlEncode(Header) . base64UrlEncode(Payload) . HS256(base64UrlEncode(Header) . base64UrlEncode(Payload), Secret)

由于 JWT 中的 Header 和 Payload 是使用 base64UrlEncode 进行加密的;任何人都可以非常轻松的就使用 base64UrlDecode 进行解密,所以 JWT 中千万不要存储敏感数据,WT 是由服务器端生成返回给前端的;前端在发送请求的时候一般把 JWT 放在 HTTP Headers 中的 Authorization 字段中,也可以直接放在 URl 链接上

五:JWT 特点

1:优点

(1)相比于 session 少了读取文件的步骤,效率更高,方便扩展

(2)因为不使用 cookie 天生免疫 CSRF 攻击

(3)因为不使用 cookie 不用担心用户禁用 cookie;不用悬挂本站需要使用 cookie 的提示信息;

(4)适合 APP 前后端分离的场景

2:缺点

(1)一旦签发不能撤销 没有类似清空 session 的操作

(2)不能自动续签

退出移动版