JWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它将使用数字签名(密钥)记性加密解密。
什么时候使用JWT Authorization (授权) : 这是JWT最常见的使用场景,一旦用户登录后,后面每个请求都将包含JWT,用户将被允许访问该令牌允许的路由、服务和资源。单点登录是JWT应用的一个场景,并且JWT可以轻松的跨域使用。Information Exchange (信息交换) : 因为JWT可以被签名,例如,用公钥/私钥对,你可以确定发送人就是它们所说的那个人。另外,由于签名是使用头(Header)和有效负载(Payload)计算的,您还可以验证内容没有被篡改。 JWT的结构是什么JSON Web Token由三部分组成,他们之间用(.)连接,这三部分分别是:
HeaderPaylaodSignature形如下面的字符串:
xxxxx.yyyyy.zzzzz
HeaderHeader通常由两部分组成,token的类型(“JWT”)和算法名称(比如:HMAC SHA256或者RSA等等)。
{ 'alg': "HS256", 'typ': "JWT"}然后使用Base64对JSON编码就能得到JWT的第一部分。
PayloadJWT的第二部分是payload,它包含声明(claims)。声明是关于实体(通常是用户)和其他数据的声明。声明有三种类型: registered, public 和 private。
Registered claims : 这里有一组预定义的声明,它们不是强制的,但是推荐。比如:iss (issuer), exp (expiration time), sub (subject), aud (audience)等。Public claims : 可以随意定义。Private claims : 用于在同意使用它们的各方之间共享信息,并且不是注册的或公开的声明。 下面是一个例子: { "sub": '1234567890', "name": 'john', "admin":true}Tips: 1. 不要在JWT的payload或header中放置敏感信息,除非它们是加密的
2. Base64与其说是加密,不如说是编码转换。标准的Base64只有64个字符,base64的初衷是将含有不可见字符串的(128-255)信息用可见字符串(0-127)表现出来。
为了得到签名部分,你必须有编码过的header、编码过的payload、一个秘钥,签名算法是header中指定的那个,然后对它们签名即可。
通常使用的签名算法有两大类:对称加密算法,非对称加密算法。其中对称加密算法即加密与解密所使用的密钥是同一个,常见的有(AES/DES),非对称加密是使用公钥加密,私钥解密,如RSA算法。
签名是用于验证消息在传递过程中有没有被更改,并且,对于使用私钥签名的token,它还可以验证JWT的发送方是否为它所称的发送方。
在认证的时候,当用户用他们的凭证成功的登录后,一个JWT将被返回。此后,该token就是用户凭证了,无论何时用户想要访问受保护的路由或者资源时,用户代理都应该带上JWT。
基于Token的身份认证是如何工作的基于Token的身份认证是无状态的,服务器或者Session中不会存储任何用户信息。没有会话意味着应用程序可以根据需要扩展和添加更多的机器,而不必担心用户登录的位置。使用Token的身份认证流程如下图所示:
Tips:每一次请求都需要token -Token应该放在请求header中 -我们还需要将服务器设置为接受来自所有域的请求,用Access-Control-Allow-Origin: *
JWT与Oauth2.0的区别Oauth2.0 是一种授权框架,JWT是一种认证协议,无论使用哪种方式都需要使用HTTPS来保证数据的安全性。
Oauth2.0 用在使用第三方账号登录的情况(比如使用weibo、qq),而JWT是用在前后端分离,需要简单的对后台API进行保护时使用。