面試官：小夥子，你這單點登陸學的能夠啊

我嘗試用八幅漫畫先讓你們理解如何設計正常的用戶認證系統，而後再延伸到單點登陸系統。

JWT 簡介

JSON Web Token（JWT）是一個很是輕巧的規範。這個規範容許咱們使用JWT在用戶和服務器之間傳遞安全可靠的信息。

讓咱們來假想一下一個場景。在A用戶關注了B用戶的時候，系統發郵件給B用戶，而且附有一個連接「點此關注A用戶」。連接的地址能夠是這樣的

https://your.awesome-app.com/make-friend/?from_user=B&target_user=A

上面的URL主要經過URL來描述這個固然這樣作有一個弊端，那就是要求用戶B用戶是必定要先登陸的。可不能夠簡化這個流程，讓B用戶不用登陸就能夠完成這個操做。JWT就容許咱們作到這點。

JWT 的組成

一個JWT實際上就是一個字符串，它由三部分組成:頭部、載荷與簽名。

載荷（Payload）

咱們先將上面的添加好友的操做描述成一個JSON對象。其中添加了一些其餘的信息，幫助從此收到這個JWT的服務器理解這個JWT。

{
    "iss": "John Wu JWT",
    "iat": 1441593502,
    "exp": 1441594722,
    "aud": "www.example.com",
    "sub": "jrocket@example.com",
    "from_user": "B",
    "target_user": "A"
}

這裏面的前五個字段都是由JWT的標準所定義的。

• iss: 該JWT的簽發者
• sub: 該JWT所面向的用戶
• aud: 接收該JWT的一方
• exp(expires): 何時過時，這裏是一個Unix時間戳
• iat(issued at): 在何時簽發的

這些定義均可以在標準中找到。

將上面的JSON對象進行[base64編碼]能夠獲得下面的字符串。這個字符串咱們將它稱做JWT的Payload（載荷）。

eyJpc3MiOiJKb2huIFd1IEpXVCIsImlhdCI6MTQ0MTU5MzUwMiwiZXhwIjoxNDQxNTk0NzIyLCJhdWQiOiJ3d3cuZXhhbXBsZS5jb20iLCJzdWIiOiJqcm9ja2V0QGV4YW1wbGUuY29tIiwiZnJvbV91c2VyIjoiQiIsInRhcmdldF91c2VyIjoiQSJ9

若是你使用Node.js，能夠用Node.js的包base64url來獲得這個字符串。

var base64url = require('base64url')
var header = {
    "from_user": "B",
    "target_user": "A"
}
console.log(base64url(JSON.stringify(header)))
// 輸出：eyJpc3MiOiJKb2huIFd1IEpXVCIsImlhdCI6MTQ0MTU5MzUwMiwiZXhwIjoxNDQxNTk0NzIyLCJhdWQiOiJ3d3cuZXhhbXBsZS5jb20iLCJzdWIiOiJqcm9ja2V0QGV4YW1wbGUuY29tIiwiZnJvbV91c2VyIjoiQiIsInRhcmdldF91c2VyIjoiQSJ9

頭部（Header）

JWT還須要一個頭部，頭部用於描述關於該JWT的最基本的信息，例如其類型以及簽名所用的算法等。這也能夠被表示成一個JSON對象。

{
  "typ": "JWT",
  "alg": "HS256"
}

在這裏，咱們說明了這是一個JWT，而且咱們所用的簽名算法（後面會提到）是HS256算法。

對它也要進行Base64編碼，以後的字符串就成了JWT的Header（頭部）。

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

簽名（簽名）

將上面的兩個編碼後的字符串都用句號.鏈接在一塊兒（頭部在前），就造成了

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0

這一部分的過程在node-jws的源碼中有體現

最後，咱們將上面拼接完的字符串用HS256算法進行加密。在加密的時候，咱們還須要提供一個密鑰（secret）。若是咱們用mystar做爲密鑰的話，那麼就能夠獲得咱們加密後的內容

rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

這一部分又叫作簽名。

最後將這一部分簽名也拼接在被簽名的字符串後面，咱們就獲得了完整的JWT

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

因而，咱們就能夠將郵件中的URL改爲

https://your.awesome-app.com/make-friend/?jwt=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

這樣就能夠安全地完成添加好友的操做了！

用戶認證八步走

所謂用戶認證（Authentication），就是讓用戶登陸，而且在接下來的一段時間內讓用戶訪問網站時可使用其帳戶，而不須要再次登陸的機制。

小知識：可別把用戶認證和用戶受權（Authorization）搞混了。用戶受權指的是規定並容許用戶使用本身的權限，例如發佈帖子、管理站點等。

首先，服務器應用（下面簡稱「應用」）讓用戶經過Web表單將本身的用戶名和密碼發送到服務器的接口。這一過程通常是一個HTTP POST請求。建議的方式是經過SSL加密的傳輸（https協議），從而避免敏感信息被嗅探。

接下來，應用和數據庫覈對用戶名和密碼。

覈對用戶名和密碼成功後，應用將用戶的id（圖中的user\_id）做爲JWT Payload的一個屬性，將其與頭部分別進行Base64編碼拼接後簽名，造成一個JWT。這裏的JWT就是一個形同lll.zzz.xxx的字符串。

應用將JWT字符串做爲該請求Cookie的一部分返回給用戶。注意，在這裏必須使用HttpOnly屬性來防止Cookie被JavaScript讀取，從而避免跨站腳本攻擊（XSS攻擊）。

在Cookie失效或者被刪除前，用戶每次訪問應用，應用都會接受到含有jwt的Cookie。從而應用就能夠將JWT從請求中提取出來。

應用經過一系列任務檢查JWT的有效性。例如，檢查簽名是否正確；檢查Token是否過時；檢查Token的接收方是不是本身（可選）。

應用在確認JWT有效以後，JWT進行Base64解碼（可能在上一步中已經完成），而後在Payload中讀取用戶的id值，也就是user\_id屬性。這裏用戶的id爲1025。

應用從數據庫取到id爲1025的用戶的信息，加載到內存中，進行ORM之類的一系列底層邏輯初始化。

應用根據用戶請求進行響應。

單點登陸

Session方式來存儲用戶id，一開始用戶的Session只會存儲在一臺服務器上。對於有多個子域名的站點，每一個子域名至少會對應一臺不一樣的服務器，例如：

www.taobao.com
nv.taobao.com
nz.taobao.com
login.taobao.com

因此若是要實如今login.taobao.com登陸後，在其餘的子域名下依然能夠取到Session，這要求咱們在多臺服務器上同步Session。

使用JWT的方式則沒有這個問題的存在，由於用戶的狀態已經被傳送到了客戶端。所以，咱們只須要將含有JWT的Cookie的domain設置爲頂級域名便可，例如

Set-Cookie: jwt=lll.zzz.xxx; HttpOnly; max-age=980000; domain=.taobao.com

注意domain必須設置爲一個點加頂級域名，即.taobao.com。這樣，taobao.com和*.taobao.com就均可以接受到這個Cookie，並獲取JWT了。

做者：子回（John Wu）
blog.leapoahead.com/2015/09/07/user-authentication-with-jwt/