专栏首页程序编程之旅​一起重新全面认识JWT-Json Web Token
原创

​一起重新全面认识JWT-Json Web Token

一起重新全面认识JWT-Json Web Token

概述

最近学习了一下JWT,全名为Json Web Token,是一种自包含令牌。

在这里,我整理了一下网上资源。在文章最后,有一个使用Java实现JWT生成和验证的完整案例。

简单的说,就是基于JSON,在web环境下传输一个规定格式的字符串令牌。

广义上讲JWT,这是一个Web安全传输信息方式。狭义上来说,直接指传递的令牌字符串。

JWT官网地址:https://jwt.io/ ,在这里,你可以体验一下形成的JWT字符串。

20150457_PCly72

应用场景

首先,我们需要知道,JWT无法用于数据加密。一般是用来身份提供者和服务者之间传递被认证的用户身份信息,以便于从资源服务器获取到资源。

也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

所以,可以推断出,在以下场景中使用JWT是比较合适的。

  • 授权:这是最常见的使用场景,解决单点登录问题。因为JWT使用起来轻便,开销小,服务端不用记录用户状态信息(无状态),所以使用比较广泛;
  • 信息交换:JWT是在各个服务之间安全传输信息的好方法。因为JWT可以签名,例如,使用公钥/私钥对儿 - 可以确定请求方是合法的。此外,由于使用标头和有效负载计算签名,还可以验证内容是否未被篡改。

JWT认证过程

JWT官网有一张图描述了JWT的认证流程

20161130_3pIuz6

流程说明:

  • 1,浏览器发起请求登陆,携带用户名和密码;
  • 2,服务端验证身份,根据算法,将用户标识符打包生成 token,
  • 3,服务器返回JWT信息给浏览器,JWT不包含敏感信息;
  • 4,浏览器发起请求获取用户资料,把刚刚拿到的 token一起发送给服务器;
  • 5,服务器发现数据中有 token,验明正身;
  • 6,服务器返回该用户的用户资料;

JWT的数据结构

JWT字符串的格式:

header.payload.signature

JWT通常由三部分组成,按照顺序: 头信息(header), 有效载荷(payload)和签名(signature)。

header是一串描述JWT元数据的JSON字符串,例如:

{"alg":"HS256","typ":"JWT"}

HS256 表示使用了 HMAC-SHA256 来生成签名。

最后使用Base64URL算法将上述JSON对象转换为字符串保存。

其他还有一些签名算法,可以去官网查看。

payload

Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段,供选用。

 iss (issuer):签发人
 exp (expiration time):过期时间(jwt的过期时间,这个过期时间必须要大于签发时间)
 sub (subject):主题
 aud (audience):受众
 nbf (Not Before):生效时间(定义在什么时间之前,该jwt都是不可用的.)
 iat (Issued At):签发时间
 jti (JWT ID):编号(jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。)

当然,除了前面的字符串,这里也就是我们传输数据的地方。可以自定义字段传输。例如:

 {
 "微信公众号": "程序编程之旅",
 "姓名": "谙忆"
 }

当然,我这里就是推广下公众号,前面的key用了中文名,你别这么玩就行。

注意哦,这部分的数据默认是不加密的。所以,如果有敏感信息,注意再使用加密算法把数据加密后传输即可。

这个JSON对象传输时,也要使用Base64URL算法转成字符串。

signature

签名哈希部分是对上面两部分数据签名,通过指定的算法生成哈希,以确保数据不会被篡改。

首先,需要指定一个密码(secret)。该密码保存在服务器中,并且不能向用户公开。然后,使用标头中指定的签名算法(默认情况下为HMAC SHA256)根据以下公式生成签名。

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

token看起来像这样:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJsb2dnZWRJbkFzIjoiYWRtaW4iLCJpYXQiOjE0MjI3Nzk2Mzh9.gzSraSYS8EXBxLN_oWnFSRgCzcmJmMjLiuyu5CSpyHI

JWT的用法

客户端接收服务器返回的JWT,将其存储在Cookie或localStorage中。

此后,客户端将在与服务器交互中都会带JWT。如果将它存储在Cookie中,就可以自动发送,但是不会跨域,因此一般是将它放入HTTP请求的Header Authorization字段中。

当跨域时,也可以将JWT放置于POST请求的数据主体中。

JWT的优缺点

1、JWT默认不加密,所以可能导致数据泄露,但可以加密。生成原始令牌后,可以使用该令牌再次对其进行加密。

2、当JWT未加密时,一些私密数据无法通过JWT传输。

3、JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。

4、JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。也就是说,一旦JWT签发,在有效期内将会一直有效。

5、JWT本身包含认证信息,因此一旦信息泄露,任何人都可以获得令牌的所有权限。为了减少盗用,JWT的有效期不宜设置太长。对于某些重要操作,用户在使用时应该每次都进行身份验证。

6、为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行传输,防止服务器返回给用户的JWT被拦截。

看着上面6点,我的建议是,无论有没有敏感数据,对于用户认证信息数据做一层加密。最大程度上避免数据泄露造成问题。

最后,强调一点:JWT不是用来加密的,只是用来验证用户的真实性以及请求来源的真实性。

最后

希望大家能动动手指,关注公众号:程序编程之旅

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 在吗?认识一下JWT(JSON Web Token) ?

    JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作为JSON对象传输。由于此...

    码农编程进阶笔记
  • 一分钟简单了解 JSON Web Token

    JSON Web Token(JWT)是一个开放的标准(RFC 7519),它定义了一个紧凑且自包含的方式,用于在各方之间作为 JSON 对象安全地传输信息。由...

    平头哥的技术博文
  • Restful安全认证及权限的解决方案

    一、Restful安全认证常用方式  1.Session+Cookie  传统的Web认证方式。需要解决会话共享及跨域请求的问题。  2.JWT  JSON W...

    庞小明
  • 注意!JWT不是万能的,入坑需谨慎!

    越来越多的开发者开始学习 JWT 技术并在实际项目中运用 JWT 来保护应用安全。一时间,JWT 技术风光无限,很多公司的应用程序也开始使用 JWT(Json...

    用户1516716
  • 注意!JWT不是万能的,入坑需谨慎!

    任何技术框架都有自身的局限性,不可能一劳永逸,JWT 也不例外。接下来,将从 JWT 的概念,基本原理和适用范围来剖析为什么说 JWT 不是银弹,需要谨慎处理。

    Bug开发工程师
  • JWT 也不是万能的呀,入坑需谨慎!

    任何技术框架都有自身的局限性,不可能一劳永逸,JWT 也不例外。接下来,将从 JWT 的概念,基本原理和适用范围来剖析为什么说 JWT 不是银弹,需要谨慎处理。

    江南一点雨
  • JWT-JSON WEB TOKEN使用详解及注意事项

    原文链接:https://www.choupangxia.com/2019/11/20/jwt-json-web-to...

    程序新视界
  • JSON Web Token到底是什么

    JSON Web Token简称JWT,发音一般为”jot“,是一种标准,定义了在各方之间传输信息的URL安全方法。该标准遵循RFC-7519规范。

    溪歪歪
  • JSON Web Token 长文扫盲帖

    本文要是讲 JWT(JSON Web Token) ,我刚接触这个这个知识点的时候,心路历程是这样的:

    JSCON简时空
  • JWT VS Session

    作者:Prosper Otemuyiwa 译者:java达人 来源:https://ponyfoo.com/articles/json-web-tokens-...

    java达人
  • JSON Web Token(JWT)教程:一个基于Laravel和AngularJS的例子

    这是一篇介绍JSON Web Token(JWT)的文章,虽然可能用到的例子和Laravel和AngularJS有关,但知道了原理便能写出适用于自己的。同时,由...

    WindCoder
  • 理解JWT(JSON Web Token)认证及实践

    HTTP Basic Auth 在HTTP中,基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式,通常用...

    goodspeed
  • 基于Token的登录流程

    要想区分来自不同用户的请求的话,服务端需要根据客户端请求确认其用户身份,即身份验证

    ayqy贾杰
  • 区分清楚Authentication,Authorization以及Cookie、Session、Token

    这是一个绝大多数人都会混淆的问题。首先先从读音上来认识这两个名词,很多人都会把它俩的读音搞混,所以我建议你先先去查一查这两个单词到底该怎么读,他们的具体含义是什...

    乔戈里
  • JWT refreshtoken 实践

    JWT 自身(在 payload 中)就包含了所有与用户相关的验证消息,所以通常情况下不需要保存。这种设计存在几个问题:

    goodspeed
  • 不会吧,不会吧,不会还有人看了这篇文章还不精通JWT吧

    JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and s...

    XiaoLin_Java
  • JWT实现token-based会话管理

    上文《3种web会话管理的方式》介绍了3种会话管理的方式,其中token-based的方式有必要从实现层面了解一下。本文主要介绍这方面的内容。上文提到token...

    wangxl
  • 你知道你对 JSON Web Token 的认识存在误解吗

    JSON Web Token (JWT) 其实目前已经广为软件开发者所熟知了,但是 JOSE (Javascript Object Signing and En...

    码农小胖哥
  • 使用 NodeJS 实现 JWT 原理

    我们用nodejs为前端或者其他服务提供resful接口时,http协议他是一个无状态的协议,有时候我们需要根据这个请求的上下获取具体的用户是否有权限,针对用户...

    前端老王

扫码关注云+社区

领取腾讯云代金券