jwt认证

问题: 判断一个用户是否已经授权登录

方法1: cookie

用户通过用户名和密码登录成功之后，服务端往客户端设置cookie  islogon=1，

问题: 客户端可以随意伪造这些信息，不安全

 

方法2: session

用户通过用户名和密码登录成功之后，服务端为该用户生成一个sessionid，设置session["islogon"]=1，服务端服务端往客户端设置cookie  sid=sessionid

下次客户端访问会带上cookie  sid=sessionid，后端根据sid索引到登录状态判断是否已经登录成功

注:如果一些信息不能随便被篡改，泄漏或者数据量较大，则不适合存放到cookie里面

问题:

1 资源压力，因为后端存放session一般存放到内存里面，用户量大的情况，内存压力大

2 系统伸缩性，如果服务做负载均衡，多个服务器之间如何保证session一致性。(一般做法是把session存放到统一集群上去)

3 CORS，跨域资源访问问题

4 CSRF，存放到cookie存在这个问题，需要额外解决

 

方法3: jwt

流程上是这样的：

用户使用用户名密码来请求服务器
服务器进行验证用户的信息
服务器通过验证发送给用户一个token
客户端存储token，并在每次请求时附送上这个token值
服务端验证token值，并返回数据

这个token必须要在每次请求时传递给服务端，它应该保存在请求头里(也可以存放到cookie里面，这样存放需要解决CSRF问题)， 另外，服务端要支持CORS(跨来源资源共享)策略，一般我们在服务端这么做就可以了Access-Control-Allow-Origin: *

JWT长什么样？JWT是由三段信息构成的，将这三段信息文本用.链接一起就构成了Jwt字符串。就像样: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

JWT的构成， 第一部分我们称它为头部（header),第二部分我们称其为载荷（payload, 类似于飞机上承载的物品)，第三部分是签证（signature).

如何应用，一般是在请求头里加入Authorization，并加上Bearer标注：

fetch('api/user/1', {
headers: {
'Authorization': 'Bearer ' + token
}
})

安全相关

1. 不应该在jwt的payload部分存放敏感信息，因为该部分是客户端可解密的部分。
2. 保护好secret私钥，该私钥非常重要。
3. token泄漏，意味着身份可以被伪造，jwt不解决传输泄漏问题，如果可以，请使用https协议或者其它加密方式通讯
4. 保证token的时效性，确保一段时间后token失效
5. 如果jwt存放在cookie，需要做好csrf和XSS防御
6. Cookies，当使用带有HttpOnly的cookie标志时，通过JavaScript是无法访问的，并且对XSS是免疫的。你还可以设置安全的cookie标志来保证cokie仅通过HTTPS发送
7. Replay Attacks也要做额外的工作

 注: JWT和OAuth2.0区别

JWT是一种认证协议 ，JWT提供了一种用于发布接入令牌（Access Token),并对发布的签名接入令牌进行验证的方法。 令牌本身包含了一系列声明，应用程序可以根据这些声明限制用户对资源的访问。

OAuth2是一种授权框架 ，提供了一套详细的授权机制（指导）。用户或应用可以通过公开的或私有的设置，授权第三方应用访问特定资源。