授权服务的核心就是颁发访问令牌,而OAuth 2.0规范并没有约束访问令牌内容的生成规则,只要符合唯一性、不连续性、不可猜性。可以灵活选择令牌的形式,既可以是没有内部结构且不包含任何信息含义的随机字符串,也可以是具有内部结构且包含有信息含义的字符串。
之前生成令牌的方式都是默认一个随机字符串。而在结构化令牌这方面,目前用得最多的就是JWT令牌。
JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑、自包含的方式,作为JSON对象在各方之间安全地传输信息,是用一种结构化封装的方式来生成token的技术。 结构化后的token可被赋予丰富含义,这是与无意义的随机字符串形式token的最大区别。
JWT这种结构化体可分为
装载令牌类型和算法等信息,是JWT的头部。
JWT的数据体,代表了一组数据。
是JWT规范性的声明,PAYLOAD表示的一组数据允许我们自定义声明。
签名后的JWT整体结构,是被.
分割的三段内容:header.payload.signature
。JWT令牌直接用肉眼,看起来还是毫无意义,但如果拷贝到 https://jwt.io/ 在线校验,即可看到解码后的有意义数据。
SIGNATURE
表示对JWT信息的签名。
可能你觉得,有了HEADER
和PAYLOAD
就可让令牌携带信息在网络中传输了,但在网络中传输这样的信息体不安全。必须加密签名,而SIGNATURE
就是对信息的签名结果,当受保护资源接收到三方软件的签名后需要验证令牌的签名是否合法。
既然授权服务颁发令牌,受保护资源服务就要验证令牌。而受保护资源调用授权服务提供的检验令牌的服务的这种校验令牌方式就叫令牌内检。
有时授权服务依赖DB,然后受保护资源服务也依赖该DB,即“共享DB”。微服务架构下,不同系统间依靠服务而非DB通信,比如授权服务给受保护资源服务提供一个RPC服务:
JWT令牌本身包含了之前所要依赖DB或依赖RPC服务才能拿到的信息,比如某用户为某软件进行授权等信息。
授权服务发个令牌,受保护资源服务接这令牌,然后开始解析令牌所含信息,无需再去查询DB或RPC调用。即实现了令牌内检。
授权服务颁发JWT后给到xx软件,xx拿着令牌请求受保护资源服务,即我在公众号里的文章。显然令牌要在公网传输。 所以传输过程令牌还要做到:
JJWT是开源较方便的JWT工具,开箱即用。封装Base64URL编码和对称HMAC、非对称RSA的一系列签名算法。
使用JJWT可方便生成一个经过签名的JWT令牌,以及解析一个JWT令牌。
String sharedTokenSecret="hellooauthhellooauthhellooauthhellooauth";//密钥
Key key = new SecretKeySpec(sharedTokenSecret.getBytes(),
SignatureAlgorithm.HS256.getJcaName());
//生成JWT令牌
String jwts=
Jwts.builder().setHeaderParams(headerMap).setClaims(payloadMap).signWith(key,SignatureAlgorithm.HS256).compact()
//解析JWT令牌
Jws<Claims> claimsJws =Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(jwts);
JwsHeader header = claimsJws.getHeader();
Claims body = claimsJws.getBody();
时间换空间。 这种计算并结构化封装,减少了“共享DB” 因远程调用而带来的网络传输性能损耗,所以可能节省时间。
因JWT令牌内部已包含重要信息,所以传输过程都必须被要求密文传输,被强制要求加密也保障了传输安全性。
JWT令牌,通过“自编码”方式包含身份验证需信息,不再需要服务端额外存储,所以每次的请求都是无状态会话。符合尽可能遵循无状态架构设计原则,即增强了系统可用性和伸缩性。
客户端获取令牌后,后续资源服务器可做自校验,无需到AuthServer校验。
无需对用户状态会话进行维护和管理
但使用JWT时,每次颁发的令牌都不会存在服务端,无法改变令牌状态。这表示JWT令牌在有效期内畅通无阻。
那么可以把JWT令牌存储在一个分布式内存数据库比如Redis中吗? NO!这违背JWT意义 - 将信息结构化存入令牌本身。通常有两种方案:
随 claims 增多而增大。
令牌都有有效期,只是JWT可把有效期的信息存在本身结构。
OAuth 2.0的令牌生命周期,通常有三种情况:
该过程不排除主动销毁令牌的可能,比如令牌被泄露,授权服务可让令牌失效。
OAuth 2.0 的核心是授权服务,没有令牌就没有OAuth,令牌表示授权后的结果。令牌在OAuth 2.0系统中对于第三方软件都是不透明的。需要关心令牌的,是授权服务和受保护资源服务。
参考