token 小記

最近了解下基於 Token 的身份驗證，跟大夥分享下。不少大型網站也都在用，好比 Facebook，Twitter，Google+，Github 等等，比起傳統的身份驗證方法，Token 擴展性更強，也更安全點，很是適合用在 Web 應用或者移動應用上。Token 的中文有人翻譯成 「令牌」，我以爲挺好，意思就是，你拿着這個令牌，才能過一些關卡。

傳統身份驗證的方法

HTTP 是一種沒有狀態的協議，也就是它並不知道是誰是訪問應用。這裏咱們把用戶當作是客戶端，客戶端使用用戶名還有密碼經過了身份驗證，不過下回這個客戶端再發送請求時候，還得再驗證一下。

解決的方法就是，當用戶請求登陸的時候，若是沒有問題，咱們在服務端生成一條記錄，這個記錄裏能夠說明一下登陸的用戶是誰，而後把這條記錄的 ID 號發送給客戶端，客戶端收到之後把這個 ID 號存儲在 Cookie 裏，下次這個用戶再向服務端發送請求的時候，能夠帶着這個 Cookie ，這樣服務端會驗證一個這個 Cookie 裏的信息，看看能不能在服務端這裏找到對應的記錄，若是能夠，說明用戶已經經過了身份驗證，就把用戶請求的數據返回給客戶端。

上面說的就是 Session，咱們須要在服務端存儲爲登陸的用戶生成的 Session ，這些 Session 可能會存儲在內存，磁盤，或者數據庫裏。咱們可能須要在服務端按期的去清理過時的 Session 。

基於 Token 的身份驗證方法

使用基於 Token 的身份驗證方法，在服務端不須要存儲用戶的登陸記錄。大概的流程是這樣的：

1. 客戶端使用用戶名跟密碼請求登陸
2. 服務端收到請求，去驗證用戶名與密碼
3. 驗證成功後，服務端會簽發一個 Token，再把這個 Token 發送給客戶端
4. 客戶端收到 Token 之後能夠把它存儲起來，好比放在 Cookie 裏或者 Local Storage 裏
5. 客戶端每次向服務端請求資源的時候須要帶着服務端簽發的 Token
6. 服務端收到請求，而後去驗證客戶端請求裏面帶着的 Token，若是驗證成功，就向客戶端返回請求的數據

JWT

實施 Token 驗證的方法挺多的，還有一些標準方法，好比 JWT，讀做：jot ，表示：JSON Web Tokens 。JWT 標準的 Token 有三個部分：

• header
• payload
• signature

中間用點分隔開，而且都會使用 Base64 編碼，因此真正的 Token 看起來像這樣：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

Header

header 部分主要是兩部份內容，一個是 Token 的類型，另外一個是使用的算法，好比下面類型就是 JWT，使用的算法是 HS256。

{
  "typ": "JWT",
  "alg": "HS256"
}

上面的內容要用 Base64 的形式編碼一下，因此就變成這樣：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload

Payload 裏面是 Token 的具體內容，這些內容裏面有一些是標準字段，你也能夠添加其它須要的內容。下面是標準字段：

• iss：Issuer，發行者
• sub：Subject，主題
• aud：Audience，觀衆
• exp：Expiration time，過時時間
• nbf：Not before
• iat：Issued at，發行時間
• jti：JWT ID

好比下面這個 Payload ，用到了 iss 發行人，還有 exp 過時時間。另外還有兩個自定義的字段，一個是 name ，還有一個是 admin 。

{
 "iss": "ninghao.net",
 "exp": "1438955445",
 "name": "wanghao",
 "admin": true
}

使用 Base64 編碼之後就變成了這個樣子：

eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ

Signature

JWT 的最後一部分是 Signature ，這部份內容有三個部分，先是用 Base64 編碼的 header.payload ，再用加密算法加密一下，加密的時候要放進去一個 Secret ，這個至關因而一個密碼，這個密碼祕密地存儲在服務端。

• header
• payload
• secret

var encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload); 
HMACSHA256(encodedString, 'secret');

處理完成之後看起來像這樣：

SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

最後這個在服務端生成而且要發送給客戶端的 Token 看起來像這樣：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

客戶端收到這個 Token 之後把它存儲下來，下回向服務端發送請求的時候就帶着這個 Token 。服務端收到這個 Token ，而後進行驗證，經過之後就會返回給客戶端想要的資源。

相關連接

• http://jwt.io/
• https://github.com/firebase/php-jwt
• https://scotch.io/tutorials/the-anatomy-of-a-json-web-token
• https://github.com/auth0/jwt-decode