简介
JWT是一种用于HTTP交互双方之间传递安全信息的简洁的、安全的表述性声明规范。JWT作为一个开发的标准,它定义了一种简洁的,自包含的方法用于通信双发之间以JSON形式安全传递。且因为数字证书的存在,这些信息是可信的,它使用公用的HMAC算法进行签名校验。它的简洁在于可以再HTTP请求时包含再Header中发送,因为数据量小所以不会影响传输效率,并且它的内容承载了用户自定义的一些必要数据且不能被篡改。
JWT的结构
JWT包含了使用“.”分隔的三部分: Header 头部 Payload 负载 Signature 签名
在Header中通常包含了两部分:token类型和采用的加密算法。{ "alg": "HS256", "typ": "JWT"}
Payload包含了Claim,它是一些自定义的实体信息。
Signature签名使用HMACSHA256算法,创建方式如下: HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret) 签名用于验证消息的发送者以及消息是没有经过篡改的。完整的JWT格式如下:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJMb2dpbkluZm8iOnsiVXNlcklkIjo0MywiVXNlclR5cGUiOjAsIkFwcElkIjoxMDMsIkxvZ2luTmFtZSI6IjE1MDE5MzY5MTUwIn0sImV4cCI6MTUyNjY0NDE1Mi4wfQ.jRN7WsEnqhmjJn6KaQzAL4lr3ZkE-WwmLBD_iXqIAWc
JWT部署
客户端请求授权服务器获取Token后,使用该Token去访问实现了JWT认证的应用服务器。Token中用户可以保存一些自定义信息,应用服务器用密钥去解析Token后获取到请求用户的信息了,很方便的解决了跨域授权的问题,因为跨域无法拿不到Cookie就无法认证,用JWT可以很好的解决此问题。具体实现如下
总结
优点:
1、完全分布式,跨平台,应用系统均可采用不同的语言来开发;
2. 应用系统系统A和系统B,可实现服务端无状态方式。
缺点:
1、若攻击者拿到Token就可以访问服务器直到过期,需要设置适当的过期时间和其他安全方式保证Token的安全性。
本文摘自智车芯官网:http://www.thinkobd.cn/