JWT(JSON WEB TOKEN)是玩具吗

JWT当然不是玩具,理解其设计意图,和适用场景自然会发现存在的就是有价值的

JWT: JSON Web Token

起源和定义

JWT(JSON Web Token)是由 IETF(Internet Engineering Task Force)基于 RFC 7519 规范定义的。它是一种用于在网络应用间传递信息的标准方法。JWT 最初由无状态的分布式应用场景需求而定义,以提供一种简洁的方式来传递信息,同时保证安全性。

JWT的结构

JWT 由三部分组成,它们使用点号(.)分隔开来:

  1. Header(头部):包含了令牌的元数据信息,例如算法和类型。
    { "alg": "HS256", "typ": "JWT" }

  2. Payload(负载):包含了要传递的用户数据,例如用户ID、角色等。
    { "sub": "1234567890", "username": "exampleUser", "role": "admin" }

  3. Signature(签名):对头部和负载进行签名,以确保消息的完整性。
    HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

    其中,认证秘钥(secret)用于对签名进行验证和生成,确保令牌的真实性和完整性。密钥本身的安全非常重要,如果密钥泄漏那么签名本身等于裸奔

验证机制

JWT 的验证主要依赖于签名和有效期:

  1. 签名验证:接收方通过验证 JWT 中的签名来确保消息的完整性,防止篡改。
    这一过程包括:
    分离出Header和Payload并分别进行Base64Url解码。
    使用Header中定义的算法和服务器的私有密钥对(Header + Payload)进行签名运算。
    比较计算得出的签名与接收到的Token中的Signature部分是否一致。

  2. 有效期验证:接收方验证 JWT 的过期时间(exp),确保 JWT 在有效期内使用。
    对Payload部分进行检查,包括但不限于:
    过期时间(Expiration Time, exp):确认Token未过期。
    生效时间(Not Before, nbf):确认Token已生效。
    发行者(Issuer, iss) 和 受众(Audience, aud):确认Token是由预期的发行者为预期的受众发布的。

处理流程

  • 客户端请求:客户端在后续请求中携带JWT,通常放在Authorization HTTP头的Bearer模式下。
  • 服务器响应:服务器提取JWT,按照上述步骤验证其签名和载荷的有效性。
  • 授权决策:如果JWT验证通过,则服务器信任客户端提供的用户身份和权限信息,允许访问受保护的资源。

使用JWT认证流程图

image

安全考虑

  • 服务器端保存的蜜钥不可泄漏,最好定期刷新
  • 为了保持安全性,应设置合理的Token有效期,并提供Token刷新机制
  • 考虑提供Token撤销机制:创建一个可分布式存储的黑名单(例如,Redis缓存、数据库表或其他高效存储解决方案),用于存储撤销的token的相关信息。这可能是整个JWT令牌,或者是JWT中的唯一标识符(如JTI,JWT ID),当想要撤销某个已经下发的 token就将它加入到名单。需要注意的是,验证的时候肯定是先去验证有效期,如果已经过期,不需要关注是否在黑名单。而且黑名单本身也会自动过期并删除即可,毕竟一支存放它浪费空间毫无意义

优点和缺点

优点:

  • 无状态性:JWT 不需要服务器存储会话信息,减轻了服务器负担。传统方式下,我们需要将会话信息持久化到DB、缓存等服务中,每次都避免不了要获取才能验证。
  • 跨域支持:JWT 可在不同域之间轻松传递信息。
  • 安全性:JWT 使用签名验证消息完整性,防止数据篡改。

缺点:

  • Token 大小:JWT 包含了额外信息,增加了网络传输负担。
  • 无法撤销:JWT 一旦发放,无法撤销,除非设置短期过期时间。
  • 不是那么安全:不能传递敏感信息,本身虽然签名但是荷载部分知识base64,当然可以选择使用一种对成签名算法来对荷载部分加密

相关资料

posted @ 2024-03-20 22:54  冰雪女娲  阅读(8)  评论(0编辑  收藏  举报