JWT是一种用于双方之间传递安全信息的简洁的,URL安全的表述性声明规范。JWT作为一个开放的标准,定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息,
因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。简洁:可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很
快。自包含:Payload 中能够包含用户的信息,避免数据库的查询
JWT的主要应用场景:
身份认证在这种场景下,一旦用户完成了登录,在接下来的每个请求中包含JWT,可以用来验证用户身份以及对路由,服务和资源的访问权限进行验证,由于它的开销非常小,
可以轻松的在不同域名的系统中传递,所有目前在单点登录(SSO)中比较广泛的使用了该技术。信息交换在通信的双方之间使用JWT对数据进行编码是一种非常安全的方式,
由于它的信息是经过签名的,可以确保发送者发送的信息是没有经过伪造的。
JWT的结构:
JWT包含了使用.分隔的三部分:Header头部 Payload负载 Signature签名
其结构看起来是这样的:Header.Payload.Signature
Header:
在Header中通常包含了两部分:token类型和采用的加密算法。{“alg”:"HS2556","typ":"JWT"}接下来对这部分内容使用Base64Url编码组成了JWT结构的第一部分。
Payload:
Token的第二部分是负载,它包含了claim,Claim是一些实体(通常指的用户)的状态和额外的元数据,有三种类型的claim:reserver,public和private.
Reserved claims:这些claim是JWT预先定义的,在JWT中并不会强制使用它们,而是推荐使用,常用的有iss(签发者),exp(过期时间戳),sub(面向的用户),aud(接收方),iat(签发时间)。
Public claims:根据需要定义自己的字段,注意应该避免冲突Private claims:这些是自定义的字段,可以用来在双方之间交换信息 负载使用的例子;{“sub”:"123456789","name":"John Doe"}
上述的负载需要经过Base64Url编码后作为JWT结构的第二部分。
Signature
创建签名需要使用编码后的header和payload以及一个秘钥,使用header中指定签名算法进行签名。例如如果希望使用HMAC SHA256
算法,那么签名应该使用下列方式创建:HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)签名用于
验证消息的发送者以及消息是没有经过篡改的。完整的JWT格式输出是以分隔的三段Base64编码,与SAML等基于XML的标准相比,
JWT在HTTP和HTML环境中更容易传递,下列的JWT展示了一个完整的JWT格式,它拼接了之前的Header,Payload以及秘钥签名:
关于signature的另一种说法:
jwt的第三部分是一个签证信息,这个签证信息由三部分组成:
header(base64后的)
payload(base64后的)
secret
这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。
如何使用JWT?在身份鉴定的实现中,传统方法是在服务端存储一个session,给客户端返回一个cookie,而使用JWT之后,当用户使用它的认证信息登录系统
之后,会返回给用户一个JWT,用户只需要本地保存该token即可,当用户希望访问一个受保护的路由或者资源的时候,通常应该在Authorization头部使用Bearer
模式添加JWT,其内容看起来是这样:Authorization: Bearer<token>
因为用户的状态在服务端的内存中是不存储的,所以这是一种无状态的认证机制。服务端的保护路由将会检查请求头Authorization中的JWT信息,如果合法,
则允许用户的行为。由于JWT是自包含的,因此减少了需要查询数据库的需要。
那么JWTtoken到底是怎么验证的呢?
密钥secret是保存在服务端的,服务端会根据这个秘钥进行生成token和验证,所以需要保护好