JWT - just what?

時間 2021-02-19

標籤算法數據庫跨域 cookie 網絡 session 加密 spa code jwt 欄目 SQL 简体版

原文原文鏈接

初見JWT，不知所云，趕忙Google(百度)一下，原來是跨域身份驗證解決方案。算法

JWT只是縮寫，全拼則是 JSON Web Tokens ，是目前流行的跨域認證解決方案，一種基於JSON的、用於在網絡上聲明某種主張的令牌（token）。數據庫

JWT 原理

jwt驗證方式是將用戶信息經過加密生成token，每次請求服務端只須要使用保存的密鑰驗證token的正確性，不用再保存任何session數據了，進而服務端變得無狀態，容易實現拓展。跨域

加密前的用戶信息，如：cookie

{
    "username": "vist",
    "role": "admin",
    "expire": "2018-12-08 20:20:20"
}

客戶端收到的token：網絡

7cd357af816b907f2cc9acbe9c3b4625

JWT 結構

一個token分爲3部分：session

頭部(header)
載荷(payload)
簽名(signature)

3個部分用「.」分隔，如：加密

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

頭部

JWT的頭部分是一個JSON對象，描述元數據，一般是：spa

{
  "typ": "JWT",
  "alg": "HS256"
}

typ 爲聲明類型，指定 "JWT"
alg 爲加密的算法，默認是 "HS256"

也能夠是下列中的算法：code

JWS	算法名稱	描述
HS256	HMAC256	HMAC with SHA-256
HS384	HMAC384	HMAC with SHA-384
HS512	HMAC512	HMAC with SHA-512
RS256	RSA256	RSASSA-PKCS1-v1_5 with SHA-256
RS384	RSA384	RSASSA-PKCS1-v1_5 with SHA-384
RS512	RSA512	RSASSA-PKCS1-v1_5 with SHA-512
ES256	ECDSA256	ECDSA with curve P-256 and SHA-256
ES384	ECDSA384	ECDSA with curve P-384 and SHA-384
ES512	ECDSA512	ECDSA with curve P-521 and SHA-512

載荷

載荷(payload)是數據的載體，用來存放實際須要傳遞的數據信息，也是一個JSON對象。
JWT官方推薦字段:jwt

iss: jwt簽發者
sub: jwt所面向的用戶
aud: 接收jwt的一方
exp: jwt的過時時間，這個過時時間必需要大於簽發時間
nbf: 定義在什麼時間以前，該jwt都是不可用的.
iat: jwt的簽發時間
jti: jwt的惟一身份標識，主要用來做爲一次性token,從而回避重放攻擊。

也可使用自定義字段，如：

{
    "username": "vist",
    "role": "admin"
}

簽名

簽名部分是對前兩部分(頭部，載荷)的簽名，防止數據篡改。

按下列步驟生成：
一、先指定密鑰(secret)
二、把頭部(header)和載荷(payload)信息分別base64轉換
三、使用頭部(header)指定的算法加密
最終，簽名(signature) = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),secret)

客戶端獲得的簽名：