聊一聊JWT

前言

看客们对于JWT,我估计大部分都是很熟悉的了。 但是不乏也存在初学者刚接触JWT,那么咱们走个流程,我先简单的在前言里介绍下JWT,因为该篇文章目的不是做JWT的使用介绍。

 

简单了解JWT

简单来讲,可以把JWT当作是一个写好的生成token令牌(字符串)的方法,使用JWT,就会生成 一个token 字符串。

说白了,就是一个签名的生成规则算法。

 

JWT生成的token示例:

eyJhbGciOiJIUzUxMiJ9.eyJ1c2VySWQiOiIxMDAxIiwiaXNzIjoiSkNjY2MiLCJpYXQiOjE2MDU2Nzg0MTd9.5f8JwZoi1okX1mEmWDOt6YsZXrxtle52PsjZ92F2I0KBlOG3XRtoL9Tfx0TjQGdwbHzYhV_uz7aNDF0E_I1FPw

咋一看感觉,很长很乱,加密得非常复杂。

那么我们加点颜色再看看:

没错,每一段不同颜色的字符串之间 可以看到,使用了符号 ’ . ‘  进行了拼接。  一共三段字符串分别是 header payloadsignature,组成了 所谓的 token令牌。



header  :  存储着该令牌使用的加密算法标识信息   


payload  :存储着 我们放进令牌里面的数据信息


signature :签名

 

最后再简单看一张图:

 

大家从图中可以看到我们很熟悉的   base64   , 大家明白 base64 不是一种加密算法, 而仅是一种编码转换方式而已。

也就是说,header 和 payload 这两部分 是可以随意解码的。

就以目前这个token令牌字符串来看,我们解码看看:

ps: 所以到这你能明白所谓的token为什么我说当作一个签名的生成的规则算法看待就行了。


 

正文

 

前面介绍太啰嗦了,该篇其实并不是个JWT使用普及文章,是想埋怨一下 注意点。

 

 

 ① 让 JWT-TOKEN 当场失效:
 

1. 账号注销/登录注销

用户在客户端登录了账号,请求授权, 拿到了 JWT-TOKEN 。

用户选择注销登录(或者账号被注销),那么讲道理其实之前的JWT-TOKEN 应该是无效的了。

2.修改密码

用户在客户端登录了账号,请求授权, 拿到了 JWT-TOKEN 。

用户修改了密码,那么讲道理其实之前的JWT-TOKEN 应该是无效的。

3.修改资源权限信息

有些情形我们会选择在JWT-TOKEN 使用自定义Claims,在Claims里面放入 role(角色),permission(权限)等数据。

用户的 role(角色),permission(权限) 一旦被修改, 那么讲道理其实之前的JWT-TOKEN 应该是无效的了。

 

类似上面举例的这种情形,

JWT是无法提供这种售后服务的, 没有办法直接指定某个JWT-TOKEN  ,使其当场失效。

那么也就是说,如果这个JWT-TOKEN  被人拎出来,在有效期内去使用,那么这个令牌就还是有用的。

 

所以对于这种场景我们的方案是:

使用  redis 去缓存 授权颁发的JWT-TOKEN , 通过在redis 中去管理 是否删除(失效)JWT-TOKEN 。

 

可是这么一来,其实也就不是 所谓的无状态了。

因为原本很多人选择使用token,就是想脱离session 这种服务有状态的模式。想让前端自己保存token,后端不需要花费精力去管理。一旦加入redis,其实可以理解为又回到了原点。

只是说在一个方面上直接避免了session的一些问题。

 

 

②延长token时间、刷新token:

 

token快过期了或者过期了,我想刷新续签一下。让这个token 再次获得生命!

JWT只会给你一个新的token。

需要我们自己去合理选择刷新token与客户端协作的方案,无感知刷新、新旧token交替等等。

 

 

 

 

 

 

 

posted on 2022-11-08 07:34  小目标青年  阅读(5)  评论(0编辑  收藏  举报