你真的瞭解JWT？JWT詳解

引述：

相信不少朋友和我同樣對於如今的登陸認證機制都有了必定的認識，而且已經在實施了.我目前接觸到的安全認證是基於Spring Security Oauth2.0。

Oauth2.0的介紹網上有不少的文章，相信有的小夥伴已經看過了，甚至連源碼都瞭解過了``。我今天說的是在Oauth之上的Token和JWT目前的主流認證模式中，都是用戶輸入用戶名和密碼進行登陸：

{ loginName: "xxx", password: "xxxxxxx" }

相似這樣的機制，在我經歷過的登陸驗證中，咱們的處理辦法是用戶登陸在本地用戶接口認證成功後調用Oauth認證服務器去進行二次驗證並攜帶基本的client_id和grant_type等必要信息
這是Oauth的一種受權模式，這樣的流程在成功以後咱們能夠拿到一個基本的token（基於JWT編碼的）

相似這樣的返回機制：
{ access_token: "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.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.aYhu0-J6XzNOzNRNdP5yJJqSXIsgZFABxyLZt2VBNjc" expires_in: 26780 jti: "ac885d2b-da12-4b76-af2c-a39aab1e5d9d" refresh_token: "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.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.uGaynDuGOe8Mh4dOxKAjeUwT_sh1I81_E-UY0UtSGlY" scope: "read write" token_type: "bearer" }
這是一個標準的JWT返回格式的受權Token，
在拿到token後能夠放到jwt.io中去解析他的token值
{ "aud": [ "marvel-open-api", "marvel-video-monitor", "marvel-subitem-server", "marvel-guid-server", "marvel-hr-server", "marvel-project-server", "marvel-auth-server", "marvel-screen-server", "marvel-cost-parent", "marvel-supervision-inspection", "marvel-middle-server", "marvel-tunnel-progress", "marvel-engineering-server", "marvel-message-server" ], "exp": 1627574108, "user_name": "admin", "jti": "ac885d2b-da12-4b76-af2c-a39aab1e5d9d", "client_id": "middle", "scope": [ "read", "write" ] }
這是咱們解析後獲得的值

上面的aud是後端的微服務，每一個服務都有各自惟一標識，經過Oauth認證服務器頒發，有了該標識表明用戶請求具體服務時通過網關轉發後不會拋出401。

這是我目前的使用Jwt的主要流程，可是不少人估計和我同樣徹底對於JWT很陌生，只知道他用來編碼封裝token的，對於他沒有去了解，那麼咱們一塊兒來看看

JWT描述：

一、JWT簡介：

JSON Web Token（JWT）是爲了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標準（(RFC 7519)，它定義了一種緊湊（Compact）且自包含（Self-contained）的方式，用於在各方之間以JSON對象安全傳輸信息。 這些信息能夠經過數字簽名進行驗證和信任。 可使用祕密（使用HMAC算法）或使用RSA的公鑰/私鑰對對JWT進行簽名。JWT的聲明通常被用來在身份提供者和服務提供者間傳遞被認證的用戶身份信息，以便於從資源服務器獲取資源，也能夠增長一些額外的其它業務邏輯所必須的聲明信息，該token也可直接被用於認證，也可被加密。是目前最流行的跨域認證解決方案。
Compact（緊湊）： 因爲它們尺寸較小，JWT能夠經過URL，POST參數或HTTP標頭內發送。 另外，尺寸越小意味着傳輸速度越快。
Self-contained（自包含）: 有效載荷（Playload）包含有關用戶的全部必需信息，避免了屢次查詢數據庫。

一個簽名的JWT被稱爲JWS (JSON Web簽名)。 事實上，JWT自己並不存在——它必須是JWS或JWE (JSON Web加密)。 它就像一個抽象類——JWS和JWE是具體的實現。

感興趣的深刻JWS和JWE的能夠閱讀此文章：https://medium.facilelogin.com/jwt-jws-and-jwe-for-not-so-dummies-b63310d201a3

二、JWT應用場景：

Authentication（鑑權）： 這是使用JWT最多見的狀況。 一旦用戶登陸，每一個後續請求都將包含JWT，容許用戶訪問該令牌容許的路由，服務和資源。 單點登陸是當今普遍使用JWT的一項功能，由於它的開銷很小，而且可以輕鬆地跨不一樣域使用。
分佈式站點的單點登陸（SSO）
Information Exchange（信息交換）： JSON Web Tokens是在各方之間安全傳輸信息的好方式。 由於JWT能夠簽名：例如使用公鑰/私鑰對，因此能夠肯定發件人是他們自稱的人。 此外，因爲使用標頭和有效載荷計算簽名，所以您還能夠驗證內容是否未被篡改。

三、JWT組成：

jwt有3個組成部分，每部分經過點號來分割 header.payload.signature
頭部（header) 是一個 JSON 對象，描述 JWT 的元數據，一般是下面的樣子
載荷（payload) 是一個 JSON 對象，用來存放實際須要傳遞的數據
簽證（signature) 對header和payload使用密鑰進行簽名，防止數據篡改。

① 頭部header

Jwt的頭部是一個JSON,而後使用Base64URL編碼，承載兩部分信息：
聲明類型typ，表示這個令牌（token）的類型（type），JWT令牌統一寫爲JWT
聲明加密的算法alg，一般直接使用HMACSHA256，就是HS256了，也可使用RSA,支持不少算法(HS25六、HS38四、HS5十二、RS25六、RS38四、RS5十二、ES25六、ES38四、ES5十二、PS25六、PS384)
var header = Base64URL({ "alg": "HS256", "typ": "JWT"})
Base64URL：Header 和 Payload 串型化的算法是 Base64URL。這個算法跟 Base64 算法基本相似，但有一些小的不一樣。JWT 做爲一個令牌（token），有些場合可能會放到 URL（好比 api.example.com/?token=xxx）。Base64 有三個字符+、/和=，在 URL 裏面有特殊含義，因此要被替換掉：=被省略、+替換成-，/替換成_ 。這就是 Base64URL 算法。

② 載荷payload

payload也是一個JSON字符串，是承載消息具體內容的地方，也須要使用Base64URL編碼，payload中能夠包含預約義的7個可用，它們不是強制性的，但推薦使用，也能夠添加任意自定義的key
iss(issuer): jwt簽發者
sub(subject): jwt所面向的用戶
aud(audience): 接收jwt的一方, 受衆
exp(expiration time): jwt的過時時間，這個過時時間必需要大於簽發時間
nbf(Not Before): 生效時間，定義在什麼時間以前.
iat(Issued At): jwt的簽發時間
jti(JWT ID): jwt的惟一身份標識，主要用來做爲一次性token,從而回避重放攻擊。
// 該token簽發給1234567890，姓名爲John Doe(自定義的字段)，簽發時間爲1516239022
var payload = Base64URL( {"sub": "1234567890", "name": "John Doe", "iat": 1516239022})

注意，JWT中payload是不加密的，只是Base64URL編碼一下，任何人拿到均可以進行解碼，因此不要把敏感信息放到裏面。

③ signature

Signature 部分是對前兩部分的簽名，防止數據篡改。

注意：secret是保存在服務器端的，jwt的簽發生成也是在服務器端的，secret就是用來進行jwt的簽發和jwt的驗證，因此，它就是你服務端的私鑰，在任何場景都不該該流露出去。一旦客戶端得知這個secret, 那就意味着客戶端是能夠自我簽發jwt了。

四、JWT特色：

由於json的通用性，因此JWT是能夠進行跨語言支持的，像JAVA,JavaScript,NodeJS,PHP等不少語言均可以使用。
由於有了payload部分，因此JWT能夠在自身存儲一些其餘業務邏輯所必要的非敏感信息。
它不須要在服務端保存會話信息, 因此它易於應用的擴展
JWT 的幾個特色

（1）JWT 默認是不加密，但也是能夠加密的。生成原始 Token 之後，能夠用密鑰再加密一次。

（2）JWT 不加密的狀況下，不能將敏感數據(如密碼)寫入 JWT，除非對payload進行加密。保護好secret私鑰，該私鑰很是重要。

（3）JWT 不只能夠用於認證，也能夠用於交換信息。有效使用 JWT，能夠下降服務器查詢數據庫的次數。

（4）JWT 的最大缺點是，因爲服務器不保存 session 狀態，所以沒法在使用過程當中廢止某個 token，或者更改 token 的權限。也就是說，一旦 JWT 簽發了，在到期以前就會始終有效，除非服務器部署額外的邏輯。

（5）JWT 自己包含了認證信息，一旦泄露，任何人均可以得到該令牌的全部權限。爲了減小盜用，JWT 的有效期應該設置得比較短。對於一些比較重要的權限，使用時應該再次對用戶進行認證。

（6）爲了減小盜用，JWT 不該該使用 HTTP 協議明碼傳輸，要使用 HTTPS 協議傳輸。

五、JWT優勢：

體積小，於是傳輸速度更快
多樣化的傳輸方式，能夠經過URL傳輸、POST傳輸、請求頭Header傳輸（經常使用）
簡單方便，服務端拿到jwt後無需再次查詢數據庫校驗token可用性，也無需進行redis緩存校驗
在分佈式系統中，很好地解決了單點登陸問題
很方便的解決了跨域受權問題，由於跨域沒法共享cookie

六、JWT缺點：

由於JWT是無狀態的，所以服務端沒法控制已經生成的Token失效，是不可控的，這一點對因而否使用jwt是須要重點考量的
獲取到jwt也就擁有了登陸權限，所以jwt是不可泄露的，網站最好使用https，防止中間攻擊偷取jwt
在退出登陸 / 修改密碼時怎樣實現JWT Token失效https://segmentfault.com/q/1010000010043871

七、JWT安全性：

JWT被確實存在被竊取的問題，可是若是能獲得別人的token，其實也就至關於能竊取別人的密碼，這其實已經不是JWT安全性的問題。網絡是存在多種不安全性的，對於傳統的session登陸的方式，若是別人能竊取登陸後的sessionID，也就能模擬登陸狀態，這和JWT是相似的。爲了安全，https加密很是有必要，對於JWT有效時間最好設置短一點。

八、JWT常見問題：

① JWT 安全嗎?

Base64編碼方式是可逆的，也就是透過編碼後發放的Token內容是能夠被解析的。通常而言，不建議在有效載荷內放敏感信息，好比使用者的密碼。

② JWT Payload 內容能夠被僞造嗎？

JWT其中的一個組成內容爲Signature，能夠防止經過Base64可逆方法回推有效載荷內容並將其修改。由於Signature是經由Header跟Payload一塊兒Base64組成的。

③ 若是個人 Cookie 被竊取了，那不就表示第三方能夠作 CSRF 攻擊?

是的，Cookie丟失，就表示身份就能夠被僞造。故官方建議的使用方式是存放在LocalStorage中，並放在請求頭中發送。

④ 空間及長度問題？

JWT Token一般長度不會過小，特別是Stateless JWT Token，把全部的數據都編在Token裏，很快的就會超過Cookie的大小（4K）或者是URL長度限制。

⑤ Token失效問題？

無狀態JWT令牌（Stateless JWT Token）發放出去以後，不能經過服務器端讓令牌失效，必須等到過時時間過纔會失去效用。

假設在這之間Token被攔截，或者有權限管理身份的差別形成受權Scope修改，都不能阻止發出去的Token失效並要求使用者從新請求新的Token。

九、JWT使用建議：

Payload中的exp時效不要設定太長。
開啓Only Http預防XSS攻擊。
若是擔憂重播攻擊（replay attacks ）能夠增長jti（JWT ID），exp（有效時間） Claim。
在你的應用程序應用層中增長黑名單機制，必要的時候能夠進行Block作阻擋（這是針對掉令牌被第三方使用竊取的手動防護）。

十、JWT與OAuth的區別

OAuth2是一種受權框架 ，JWT是一種認證協議 -不管使用哪一種方式切記用HTTPS來保證數據的安全性 -OAuth2用在使用第三方帳號登陸的狀況(好比使用weibo, qq, github登陸某個app)，而JWT是用在先後端分離, 須要簡單的對後臺API進行保護時使用。

總結

其實JWT並不在加密保護數據，而是爲了認證來源。
JWT不保證數據不泄露，由於JWT的設計目的就不是數據加密和保護。
Angular 的文檔中也對於JWT有很是深刻的講解，感興趣的同窗能夠去深刻了解，地址在下方。

本文引用地址：
JWT文檔：https://jwt.io/introduction/
JWT描述：http://www.javashuo.com/article/p-mxljvern-gy.html
Angular文檔對於JWT瞭解：https://blog.angular-university.io/angular-jwt/
一文說清楚JWT，JWS，JWE：https://www.jianshu.com/p/50ade6f2e4fd
知乎一文說清楚JWT：https://zhuanlan.zhihu.com/p/86937325
JWS和JWE深刻：
https://medium.facilelogin.com/jwt-jws-and-jwe-for-not-so-dummies-b63310d201a3，
https://darutk.medium.com/understanding-id-token-5f83f50fa02e