JSON Web Token（JWT）的詳解

一、傳統身份驗證和JWT的身份驗證

傳統身份驗證：

      HTTP 是一種沒有狀態的協議，也就是它並不知道是誰是訪問應用。這裏咱們把用戶當作是客戶端，客戶端使用用戶名還有密碼經過了身份驗證，不過下回這個客戶端再發送請求時候，還得再驗證一下。 解決的方法就是，當用戶請求登陸的時候，若是沒有問題，咱們在服務端生成一條記錄，這個記錄裏能夠說明一下登陸的用戶是誰，而後把這條記錄的 ID 號發送給客戶端，客戶端收到之後把這個 ID 號存儲在 Cookie 裏，下次這個用戶再向服務端發送請求的時候，能夠帶着這個 Cookie ，這樣服務端會驗證一個這個 Cookie 裏的信息，看看能不能在服務端這裏找到對應的記錄，若是能夠，說明用戶已經經過了身份驗證，就把用戶請求的數據返回給客戶端。 上面說的就是 Session，咱們須要在服務端存儲爲登陸的用戶生成的 Session ，這些 Session 可能會存儲在內存，磁盤，或者數據庫裏。咱們可能須要在服務端按期的去清理過時的 Session 。

 

安裝：

pip install djangorestframework_jwt

 

JWT的身份驗證：

使用基於 Token 的身份驗證方法，在服務端不須要存儲用戶的登陸記錄。大概的流程是這樣的：

一、客戶端使用用戶名跟密碼請求登陸
二、服務端收到請求，去驗證用戶名與密碼
三、驗證成功後，服務端會簽發一個 Token，再把這個 Token 發送給客戶端
四、客戶端收到 Token 之後能夠把它存儲起來，好比放在 Cookie 裏或者 Local Storage 裏
五、客戶端每次向服務端請求資源的時候須要帶着服務端簽發的 Token
六、服務端收到請求，而後去驗證客戶端請求裏面帶着的 Token，若是驗證成功，就向客戶端返回請求的數據

二、JWT的token組成

實施 Token 驗證的方法挺多的，還有一些標準方法，好比 JWT，讀做：jot ，表示：JSON Web Tokens 。

　　　JWT 標準的 Token 有三個部分：

　　　header（頭部）

　　　payload（數據）

　　　signature（簽名）

　　　中間用點分隔開，而且都會使用 Base64 編碼，因此真正的 Token 看起來像這樣：

eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

頭部：

每一個 JWT token 裏面都有一個 header，也就是頭部數據。裏面包含了使用的算法，這個 JWT 是否是帶簽名的或者加密的。主要就是說明一下怎麼處理這個 JWT token 。

頭部裏包含的東西可能會根據 JWT 的類型有所變化，好比一個加密的 JWT 裏面要包含使用的加密的算法。惟一在頭部裏面要包含的是 alg 這個屬性，若是是加密的 JWT，這個屬性的值就是使用的簽名或者解密用的算法。若是是未加密的 JWT，這個屬性的值要設置成 none。

示例：

 

 

意思是這個 JWT 用的算法是 HS256。上面的內容得用 base64url 的形式編碼一下，因此就變成這樣：

 

 

Payload：

Payload 裏面是 Token 的具體內容，這些內容裏面有一些是標準字段，你也能夠添加其它須要的內容。下面是標準字段：

1. iss：Issuer，發行者

2. sub：Subject，主題

3. aud：Audience，觀衆

4. exp：Expiration time，過時時間

5. nbf：Not before

6. iat：Issued at，發行時間

7. jti：JWT ID

好比下面這個 Payload ，用到了 iss 發行人，還有 exp 過時時間這兩個標準字段。另外還有兩個自定義的字段，一個是 name ，還有一個是 admin 。

 

 

使用 base64url 編碼之後就變成了這個樣子：

 

 

Signature：

JWT 的最後一部分是 Signature ，這部份內容有三個部分，先是用 Base64 編碼的 header.payload ，再用加密算法加密一下，加密的時候要放進去一個 Secret ，這個至關因而一個密碼，這個密碼祕密地存儲在服務端。

1. header

2. payload

3. secret

 

處理完成之後看起來像這樣：

 

最後這個在服務端生成而且要發送給客戶端的 Token 看起來像這樣：

 

 

客戶端收到這個 Token 之後把它存儲下來，下回向服務端發送請求的時候就帶着這個 Token 。服務端收到這個 Token ，而後進行驗證，經過之後就會返回給客戶端想要的資源。