JWT 定義

JWT 其全稱為：JSON Web Token，JWT是一個(gè)“認(rèn)證規(guī)范”。 簡單地說就是 JSON 在 Web 上的一種帶簽名的標(biāo)記形式。官方的定義如下：

JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.

即：JSON Web Token (JWT)是一個(gè)開放標(biāo)準(zhǔn)(RFC 7519)，它定義了一種緊湊的、自包含的方式，用于作為JSON對象在各方之間安全地傳輸信息。

基于token的鑒權(quán)機(jī)制

基于token的鑒權(quán)機(jī)制類似于http協(xié)議也是無狀態(tài)的，它不需要在服務(wù)端去保留用戶的認(rèn)證信息或者會(huì)話信息。這就意味著基于token認(rèn)證機(jī)制的應(yīng)用不需要去考慮用戶在哪一臺(tái)服務(wù)器登錄了，這就為應(yīng)用的擴(kuò)展提供了便利。

流程上是這樣的：

• 用戶使用用戶名密碼來請求服務(wù)器
• 服務(wù)器進(jìn)行驗(yàn)證用戶的信息
• 服務(wù)器通過驗(yàn)證發(fā)送給用戶一個(gè)token
• 客戶端存儲(chǔ)token，并在每次請求時(shí)附送上這個(gè)token值
• 服務(wù)端驗(yàn)證token值，并返回?cái)?shù)據(jù)

這個(gè)token必須要在每次請求時(shí)傳遞給服務(wù)端，它應(yīng)該保存在請求頭里， 另外，服務(wù)端要支持CORS(跨來源資源共享)策略，一般我們在服務(wù)端這么做就可以了Access-Control-Allow-Origin: *。

JWT長什么樣？

JWT是由三段信息構(gòu)成的，將這三段信息文本用.鏈接一起就構(gòu)成了Jwt字符串。就像這樣:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

JWT的構(gòu)成

第一部分我們稱它為頭部（header),第二部分我們稱其為載荷（payload, 類似于飛機(jī)上承載的物品)，第三部分是簽證（signature).

Header（頭部）

jwt的頭部承載兩部分信息：

• 聲明類型，這里是jwt
• 聲明加密的算法 通常直接使用 HMAC SHA256

完整的頭部就像下面這樣的JSON：

{

'typ': 'JWT',

'alg': 'HS256'

}

然后將頭部進(jìn)行base64加密（該加密是可以對稱解密的),構(gòu)成了第一部分.

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

備注：

聲明加密的算法:通常直接使用 HMAC SHA256

加密算法是單向函數(shù)散列算法，常見的有MD5、SHA、HAMC。

MD5(message-digest algorithm 5)（信息-摘要算法）縮寫，廣泛用于加密和解密技術(shù)，常用于文件校驗(yàn)。校驗(yàn)？不管文件多大，經(jīng)過MD5后都能生成唯一的MD5值

SHA (Secure Hash Algorithm，安全散列算法），數(shù)字簽名等密碼學(xué)應(yīng)用中重要的工具，安全性高于MD5

HMAC (Hash Message Authentication Code)，散列消息鑒別碼，基于密鑰的Hash算法的認(rèn)證協(xié)議。用公開函數(shù)和密鑰產(chǎn)生一個(gè)固定長度的值作為認(rèn)證標(biāo)識(shí)，用這個(gè)標(biāo)識(shí)鑒別消息的完整性。常用于接口簽名驗(yàn)證

Payload(載荷)

載荷就是存放有效信息的地方。這個(gè)名字像是特指飛機(jī)上承載的貨品，這些有效信息包含三個(gè)部分

• 標(biāo)準(zhǔn)中注冊的聲明
• 公共的聲明
• 私有的聲明

標(biāo)準(zhǔn)中注冊的聲明 (建議但不強(qiáng)制使用) ：

• iss: jwt簽發(fā)者
• sub: jwt所面向的用戶
• aud: 接收jwt的一方
• exp: jwt的過期時(shí)間，這個(gè)過期時(shí)間必須要大于簽發(fā)時(shí)間
• nbf: 定義在什么時(shí)間之前，該jwt都是不可用的.
• iat: jwt的簽發(fā)時(shí)間
• jti: jwt的唯一身份標(biāo)識(shí)，主要用來作為一次性token,從而回避重放攻擊。

公共的聲明 ：公共的聲明可以添加任何的信息，一般添加用戶的相關(guān)信息或其他業(yè)務(wù)需要的必要信息.但不建議添加敏感信息，因?yàn)樵摬糠衷诳蛻舳丝山饷?

私有的聲明 ：私有聲明是提供者和消費(fèi)者所共同定義的聲明，一般不建議存放敏感信息，因?yàn)閎ase64是對稱解密的，意味著該部分信息可以歸類為明文信息。

定義一個(gè)payload:

{

"sub": "1234567890",

"name": "John Doe",

"admin": true}

然后將其進(jìn)行base64加密，得到Jwt的第二部分。

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

Signature（簽名）

jwt的第三部分是一個(gè)簽證信息，這個(gè)簽證信息由三部分組成：

• header (base64后的)
• payload (base64后的)
• secret

這個(gè)部分需要base64加密后的header和base64加密后的payload使用.連接組成的字符串，然后通過header中聲明的加密方式進(jìn)行secret組合加密，然后就構(gòu)成了jwt的第三部分。

// javascriptvarencodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);

varsignature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

將這三部分用.連接成一個(gè)完整的字符串,構(gòu)成了最終的jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注意：secret是保存在服務(wù)器端的，jwt的簽發(fā)生成也是在服務(wù)器端的，secret就是用來進(jìn)行jwt的簽發(fā)和jwt的驗(yàn)證，所以，它就是你服務(wù)端的私鑰，在任何場景都不應(yīng)該流露出去。一旦客戶端得知這個(gè)secret, 那就意味著客戶端是可以自我簽發(fā)jwt了。

如何應(yīng)用

一般是在請求頭里加入Authorization，并加上Bearer標(biāo)注：

fetch('api/user/1', {

headers: {

'Authorization': 'Bearer ' + token

}

})

服務(wù)端會(huì)驗(yàn)證token，如果驗(yàn)證通過就會(huì)返回相應(yīng)的資源。整個(gè)流程就是這樣的:

截圖.png

1. 用戶使用賬號(hào)和密碼發(fā)出post請求；

2. 服務(wù)器使用私鑰創(chuàng)建一個(gè)jwt；

3. 服務(wù)器返回這個(gè)jwt給瀏覽器；

4. 瀏覽器將該jwt串在請求頭中向服務(wù)器發(fā)送請求；

5. 服務(wù)器驗(yàn)證該jwt；

6. 返回響應(yīng)的資源給瀏覽器。

JWT的主要應(yīng)用場景

身份認(rèn)證在這種場景下，一旦用戶完成了登陸，在接下來的每個(gè)請求中包含JWT，可以用來驗(yàn)證用戶身份以及對路由，服務(wù)和資源的訪問權(quán)限進(jìn)行驗(yàn)證。由于它的開銷非常小，可以輕松的在不同域名的系統(tǒng)中傳遞，所有目前在單點(diǎn)登錄（SSO）中比較廣泛的使用了該技術(shù)。 信息交換在通信的雙方之間使用JWT對數(shù)據(jù)進(jìn)行編碼是一種非常安全的方式，由于它的信息是經(jīng)過簽名的，可以確保發(fā)送者發(fā)送的信息是沒有經(jīng)過偽造的。