基于 M实现的 JWT解决方案
简介
JWT英文名是Json Web Token,是一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范,经常用在跨域身份验证。
JWT 以 JSON 对象的形式安全传递信息。因为存在数字签名,因此所传递的信息是安全的。
现状
在讲解 JWT 之前我们先来看一个问题。我们都知道互联网服务的身份验正过程是这样的,客户端向服务器发送登录名和登录密码,服务器验证后将对应的相关信息保存到当前会话中,这些信息包括权限、角色等数据。
服务器向客户端返回 Session ,Session 信息都会写入到客户端的 Cookie 中,后面的请求都会从 Cookie 中读取 Session 发送给服务器,服务器在收到 Session 后会对比保存的数据来确认客户端身份。
但是上述模式存在一个问题,无法横向扩展。在服务器集群或者面向服务且跨域的结构中,需要数据库来保存 Session 会话,实现服务器之间的会话数据共享
在单点登录中我们会遇到上述问题,当有多个网站提供同一拨服务,那么我们该怎么实现在甲网站登陆后其他网站也同时登录呢?
其中一种方法是持久化 Session 数据,也就是上面所说的将 Session 会话存到数据库中。这个方法的优点是架构清晰明了。
但是缺点也非常明显,就是架构修改很困难,验证逻辑需要重写,并且整体依赖于数据库,如果存储 Session 会话的数据库挂掉那么整个身份认证就无法使用,进而导致系统无法登录。要解决这个问题我们就用到了 JWT 。
原理
客户端身份经过服务器验证通过后,会生成带有签名的 JSON 对象并将它返回给客户端。客户端在收到这个 JSON 对象后存储起来。
在以后的请求中客户端将 JSON 对象连同请求内容一起发送给服务器,服务器收到请求后通过 JSON 对象标识用户,如果验证不通过则不返回请求的数据。
验证不通过的情况有很多,比如签名不正确、无权限、过期等。在 JWT 中服务器不保存任何会话数据,使得服务器更加容易扩展。
Base64URL 算法
在讲解 JWT 的组成结构前我们先来讲解一下 Base64URL 算法。这个算法和 Base64 算法类似,但是有一点区别。
我们通过名字可以得知这个算法使用于 URL 的,因此它将 Base64 中的 + 、/、 = 三个字符替换成了 - 、_ , 删除掉了 = 。因为这个三个字符在 URL 中有特殊含义。
基于M实现的方法:
ClassMethod Base64UrlEncryption(str As %String) { s ret = $zcvt(str, "O", "UTF8") s ret = ##class(%SYSTEM.Encryption).Base64Encode(ret, 1) s ret = ..ConvertUrl(ret) q ret } ClassMethod ConvertUrl(str) { q $tr(str, "+/=", "-_") }
JWT 组成结构
JWT 是由三段字符串和两个 . 组成,每个字符串和字符串之间没有换行(类似于这样:abc.def.xyz),每个字符串代表了不同的功能,我们将这三个字符串的功能按顺序列出来并讲解:
头部Header
JWT 头描述了 JWT 元数据,是一个 JSON 对象,它的格式如下:
{ "alg": "HS256", "typ": "JWT" }
这里的 alg 属性表示签名所使用的算法,JWT 签名默认的算法为 HMAC SHA256 , alg 属性值 HS256 就是 HMAC SHA256 算法。typ 属性表示令牌类型,这里就是 JWT。
基于M实现的方法:
ClassMethod GenerateHeaderPart() { s header = {} s header.alg = "HS256" s header.typ = "JWT" s headerPart = ..Base64UrlEncryption(header.%ToJSON()) q headerPart }
USER>w ##class(M.Jwt).GenerateHeaderPart() eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
有效载荷Payload
有效载荷是 JWT 的主体,同样也是个 JSON 对象。
JWT指定七个默认字段供选择,也可以省略,一般建议使用。包括以下内容:
iss:jwt的签发者/发行人
sub:主题aud:接收方exp:jwt过期时间nbf:jwt生效时间iat:签发时间jti:jwt唯一身份标识,可以避免重放攻击
也可以自定义字段:
{ "name": "yx", "code": "yaoxin", "desc": "engineer", }
下面这个代码段就是定义了一个有效载荷:
{ "iss": "yx", "jti": "78006423", "exp": "2023-01-15 09:30:04", "nbf": "2023-01-08 09:30:04", "iat": "2023-01-08 09:30:04" }
基于M实现的方法:
Parameter Sign = "yx"; ClassMethod GeneratePayloadPart() { s payload = {} s payload.iss = ..#Sign s payload.jti = ##class(%SYSTEM.Encryption).GenCryptToken() s payload.exp = $zd(($h + 7), 3) _ " " _$zt($p($h, ",", 2), 1) s payload.nbf = $zdt($h, 3) s payload.iat = $zdt($h, 3) s payloadPart = ..Base64UrlEncryption(payload.%ToJSON()) q payloadPart }
USER>w ##class(M.Jwt).GeneratePayloadPart() eyJpc3MiOiJ5eCIsImp0aSI6IjYzMjg1OTgyIiwiZXhwIjoiMjAyMy0wMS0yNSAwOTozNTozMCIsIm5iZiI6IjIwMjMtMDEtMTggMDk6MzU6MzAiLCJpYXQiOiIyMDIzLTAxLTE4IDA5OjM1OjMwIn0
哈希签名Signature
哈希签名的算法主要是确保数据不会被篡改。它主要是对前面所讲的两个部分进行签名,通过 JWT 头定义的算法生成哈希。哈希签名的过程如下:
- 指定密码,密码保存在服务器中,不能向客户端公开。
- 使用
JWT头指定的算法进行签名,进行签名前需要对JWT头Header和有效载荷payload进行Base64URL编码,结果之间需要用.来连接。
示例如下:
HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)
基于M实现的方法:
Parameter DOT = "."; Parameter Key = 00000000111111112222222233333333; ClassMethod GenerateSignaturePart(headerPart, payloadPart) { s content = headerPart _ ..#DOT _ payloadPart s signaturePart = ..HMACSHABase64Encode(content, ..#Key) q signaturePart }
JWT完整结果
JWT由3部分组成:标头(Header)、有效载荷(Payload)和签名(Signature)。在传输的时候,会将JWT的3部分分别进行Base64编码后用.进行连接形成最终传输的字符串。
Base64(Header).Base64(Payload).HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)
基于M实现的方法:
ClassMethod GenerateJwt() { s headerPart = ..GenerateHeaderPart() s payloadPart = ..GeneratePayloadPart() s signaturePart = ..GenerateSignaturePart(headerPart, payloadPart) s jwt = headerPart _ ..#DOT _ payloadPart _ ..#DOT _ signaturePart q jwt }
USER>w ##class(M.Jwt).GenerateJwt() eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJ5eCIsImp0aSI6IjA0MzYzNzA1IiwiZXhwIjoiMjAyMy0wMS0yNSAwOTo0ODowMSIsIm5iZiI6IjIwMjMtMDEtMTggMDk6NDg6MDEiLCJpYXQiOiIyMDIzLTAxLTE4IDA5OjQ4OjAxIn0.XxgI9PG8AznJIyS6neze2UC4XNG-V0dP46pkp_JNhBY
可以在jwt.io(地址:https://jwt.io/)上验证一下:
JWT基于M的使用流程
- 首先创建后端门面接口,用户处理通用权限校验和接收反射需要调用的方法:
Class M.Broker Extends (%CSP.Page, %CSP.REST) { /// desc:返回页面数据方法 ClassMethod OnPage() As %Status { s pClassName = $g(%request.Data("ClassName",1)) s pMethodName = $g(%request.Data("MethodName",1)) /* 输出返回值到页面上 */ w ..RunMethod(pClassName, pMethodName) q $$$OK } /// desc:运行通用方法 ClassMethod RunMethod(pClassName, pMethodName) [ ProcedureBlock = 0 ] { s $zt = "Error" d ..GetInfo() q:(pMethodName'="Login")&&('$d(%request.CgiEnvs("HTTP_AUTHORIZATION"))) ..Failure2Json("请求头中AUTHORIZATION不存在!") q:(pClassName = "") ..Failure2Json("类不能为空!") q:(pMethodName = "") ..Failure2Json("方法不能为空!") d:(pMethodName'="Login") ##class(M.Jwt).VerifyJwt() s requestMethod = $lb("POST", "GET") q:('$lf(requestMethod, %request.CgiEnvs("REQUEST_METHOD"))) try { s result = $classmethod(pClassName, pMethodName) } catch e { s msg = e.Name _ e.Location _ " *" _ data _ $ze ret ..Failure2Json(msg) } q ..Success2Json(result) Error s $zt = "" ret ..Failure2Json("意外没有捕捉错误的错误:" _ $ze) } }
- 模拟客户端使用用户名和密码请求登录返回
Jwt。服务端收到请求,验证用户名和密码。验证成功后,服务端会签发一个JWT token,再把这个JWT token返回给客户端。
后端登录方法:
Class M.Jwt Extends %RegisteredObject { ClassMethod Login() { #; todo 验证用户密码信息 #; 返回JWT q ..GenerateJwt() } }
使用PostMan模拟接口登录:
{ "code": 200, "msg": "", "data": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJ5eCIsImp0aSI6IjQ3MDY0MDQ3IiwiZXhwIjoiMjAyMy0wMS0yNSAxMDoyMzo1NCIsIm5iZiI6IjIwMjMtMDEtMTggMTA6MjM6NTQiLCJpYXQiOiIyMDIzLTAxLTE4IDEwOjIzOjU0In0.IcYRp5BqGtslB94lNYmgIrvIwuyne347HjmHkNmAceo" }
- 客户端收到
token后可以把它存储起来,比如放到sessionStorage中。客户端每次向服务端请求资源时需要携带服务端签发的JWT token,可以在header中携带。
使用PostMan模拟请求数据:
- 把请求到的
JWT信息放到PostMan->Authorization->TYPE = Bear Token-> 设置Token中。 - 前端在每次请求时将
JWT Token放入HTTP请求头中的Authorization属性中(解决XSS和XSRF问题)。
- 服务端收到请求,然后去验证客户端请求里面带着的
JWT token,如果验证成功,就向客户端返回请求数据。
解析验证JWT后端方法:
ClassMethod VerifyJwt() { #; 验证是否携带JWT q:'$d(%request) "" q:'$d(%request.CgiEnvs("HTTP_AUTHORIZATION")) $$$JwtException("请求头中AUTHORIZATION不存在!") #; 获取JWT s token = %request.CgiEnvs("HTTP_AUTHORIZATION") s jwt = $p(token," " ,2) s headerPart = $p(jwt, ".", 1) s payloadPart = $p(jwt, ".", 2) s signaturePart = $p(jwt, ".", 3) #; 解析header部分 s header = ..Base64Decryption(headerPart) s headerObj = {}.%FromJSON(header) #; 解析payload部分 s payload = ..Base64Decryption(payloadPart) s payloadObj = {}.%FromJSON(payload) #; 解析重新验签判断数据是否被修改过 s content = headerPart _ ..#DOT _ payloadPart s signatureConetent = ..HMACSHABase64Encode(content, ..#Key) q:(signatureConetent '= signaturePart) $$$JwtException("签名校验异常") #; 其他验证信息,根据需求自行判断 q:(payloadObj.iss '= ..#Sign) $$$JwtException("IIS发行人校验异常") s exp = payloadObj.exp #; 这里只计算了日期,需要对比时间根据需要自行判断 q:(+$zdth(exp, 3) < +$h) $$$JwtException("JWT已经过期") q $$$OK }
后端数据方法:
ClassMethod Data() { q $$$OK }
总结
使用场景:
- 支持跨域访问:
cookie是无法跨域的,而token由于没有用到cookie(前提是将token放到请求头中),所以跨域后不会存在信息丢失问题。 - 无状态:
token机制在服务端不需要存储session信息,因为token自身包含了所有登录用户的信息,所以可以减轻服务端压力。 - 更适用于移动端:当客户端是非浏览器平台时,
cookie是不被支持的,此时采用token认证方式会简单很多。
- 无需考虑
CSRF:由于不再依赖cookie,所以采用token认证方式不会发生CSRF,所以也就无需考虑CSRF的防御。 - 单点登录。
在使用 JWT 时需要注意以下事项:
JWT默认不加密,如果要写入敏感信息必须加密,可以用生成的原始令牌再次对内容进行加密。JWT无法使服务器保存会话状态,当令牌生成后在有效期内无法取消也不能更改。
JWT包含认证信息,如果泄露了,任何人都可以获得令牌所有的权限;因此JWT有效期不能太长,对于重要操作每次请求都必须进行身份验证。
完整代码
M.Broker.cls
Class M.Broker Extends (%CSP.Page, %CSP.REST) { /// 设置为"utf-8",否则中文乱码 Parameter CHARSET = "utf-8"; ClassMethod OnPreHTTP() As %Boolean { #dim %response as %CSP.Response #dim %session as %CSP.Session #; js是否可读cookie #; s %response.UseHttpOnly = 1 /* 星号表示所有的域都可以接受 */ d %response.SetHeader("Access-Control-Allow-Origin", ..GetOrigin()) #; 允许请求方式,例如get。post d %response.SetHeader("Access-Control-Allow-Methods", "*") #; 允许头信息 d %response.SetHeader("Access-Control-Allow-Headers", "x-requested-with,content-type") #; 允许验证 d %response.SetHeader("Access-Control-Allow-Credentials", "true") #; 额外暴露头信息 #;d %response.SetHeader("Access-Control-Expose-Headers", "cookie") #; 超时时间 d %response.SetHeader("Access-Control-Max-Age", 3600) /* 设置返回结构为Json */ d %response.SetHeader("Content-Type", "application/json") #; 每次请求将Session超时时间重新设置 s %session.AppTimeout = 900 if ($zv [ "IRIS") { #; 确定是否应该使用 sessionId cookie 发送 "Secure" 标志的内部属性 s %session.SecureSessionCookie = 1 #; 确定如何严格限制 sessionId cookie 域的属性。选项有 None (0)、Lax (1) 和 Strict (2),其中 Strict 表示 cookie 只能在当前应用程序中使用。默认为 CSP 应用程序的相应设置。除非另有配置,否则应用程序默认为 Strict。请注意,None 对于不安全 (HTTP) 连接无效 s %session.SessionScope = 0 #; 用于确定要与用户创建的 cookie 一起发送的 SameSite 属性的属性。选项有 None (0)、Lax (1) 和 Strict (2)。默认为 CSP 应用程序的相应设置。除非另有配置,否则应用程序默认为 Strict。请注意,None 对于不安全 (HTTP) 连接无效。 s %session.UserCookieScope = 0 } q 1 } /// desc:返回页面数据方法 ClassMethod OnPage() As %Status { s pClassName = $g(%request.Data("ClassName",1)) s pMethodName = $g(%request.Data("MethodName",1)) /* 输出返回值到页面上 */ w ..RunMethod(pClassName, pMethodName) q $$$OK } /// desc:运行通用方法 ClassMethod RunMethod(pClassName, pMethodName) [ ProcedureBlock = 0 ] { s $zt = "Error" d ..GetInfo() q:(pMethodName'="Login")&&('$d(%request.CgiEnvs("HTTP_AUTHORIZATION"))) ..Failure2Json("请求头中AUTHORIZATION不存在!") q:(pClassName = "") ..Failure2Json("类不能为空!") q:(pMethodName = "") ..Failure2Json("方法不能为空!") d:(pMethodName'="Login") ##class(M.Jwt).VerifyJwt() s requestMethod = $lb("POST", "GET") q:('$lf(requestMethod, %request.CgiEnvs("REQUEST_METHOD"))) try { s result = $classmethod(pClassName, pMethodName) } catch e { s msg = e.Name _ e.Location _ " *" _ data _ $ze ret ..Failure2Json(msg) } q ..Success2Json(result) Error s $zt = "" ret ..Failure2Json("意外没有捕捉错误的错误:" _ $ze) } /// 返回消息Json ClassMethod Msg(code, msg = "", data = "") As %DynamicObject { s ret = {} s ret.code = code s ret.msg = msg s ret.data = data q ret } /// 无Session判断 ClassMethod Session() As %DynamicObject { q ..Msg(-2, "", "") } /// 返回前台的成功消息转Json ClassMethod Session2Json() As %String { q ..Session().%ToJSON() } /// 返回前台的成功消息 ClassMethod Success(data) As %DynamicObject { q ..Msg(200, "", data) } /// 返回前台的成功消息转Json ClassMethod Success2Json(data) As %String { q ..Success(data).%ToJSON() } /// 返回前台分页数据的成功消息转Json ClassMethod Success2Json4Page(data, total) As %String { s ret = ..Success(data) d ret.%Set("size" ,$g(%request.Data("size", 1)) ,"number") d ret.%Set("current" ,$g(%request.Data("current", 1)) ,"number") d ret.%Set("total" ,total ,"number") q ret.%ToJSON() } /// 返回前台的失败消息 ClassMethod Failure(msg, data = "") As %DynamicObject { q ..Msg(-1, msg, data) } /// 返回前台的失败消息转Json ClassMethod Failure2Json(msg, data = "") As %String { q ..Failure(msg, data).%ToJSON() } /// 返回前台的警告消息 ClassMethod Warning(msg, data = "") As %DynamicObject { q ..Msg(0, msg, data) } /// 返回前台的警告消息转Json ClassMethod Warning2Json(msg, data = "") As %String { q ..Warning(msg, data).%ToJSON() } ClassMethod GetOrigin() { q:'$d(%request) "" q:'$d(%request.CgiEnvs("HTTP_ORIGIN")) "" s origin = %request.CgiEnvs("HTTP_ORIGIN") q origin } ClassMethod GetAuthorization() { q:'$d(%request) "" q:'$d(%request.CgiEnvs("HTTP_AUTHORIZATION")) "" s token = %request.CgiEnvs("HTTP_AUTHORIZATION") q token } }
M.Jwt.cls
Include M.Jwt Class M.Jwt Extends %RegisteredObject { ClassMethod Login() { #; todo 验证用户密码信息 #; 返回JWT q ..GenerateJwt() } ClassMethod Data() { q $$$OK } Parameter DOT = "."; Parameter Sign = "yx"; Parameter Key = 00000000111111112222222233333333; /// w ##class(M.Jwt).GetJwt() ClassMethod VerifyJwt() { #; 验证是否携带JWT q:'$d(%request) "" q:'$d(%request.CgiEnvs("HTTP_AUTHORIZATION")) $$$JwtException("请求头中AUTHORIZATION不存在!") #; 获取JWT s token = %request.CgiEnvs("HTTP_AUTHORIZATION") s jwt = $p(token," " ,2) s headerPart = $p(jwt, ".", 1) s payloadPart = $p(jwt, ".", 2) s signaturePart = $p(jwt, ".", 3) #; 解析header部分 s header = ..Base64Decryption(headerPart) s headerObj = {}.%FromJSON(header) #; 解析payload部分 s payload = ..Base64Decryption(payloadPart) s payloadObj = {}.%FromJSON(payload) #; 解析重新验签判断数据是否被修改过 s content = headerPart _ ..#DOT _ payloadPart s signatureConetent = ..HMACSHABase64Encode(content, ..#Key) q:(signatureConetent '= signaturePart) $$$JwtException("签名校验异常") #; 其他验证信息,根据需求自行判断 q:(payloadObj.iss '= ..#Sign) $$$JwtException("IIS发行人校验异常") s exp = payloadObj.exp #; 这里只计算了日期,需要对比时间根据需要自行判断 q:(+$zdth(exp, 3) < +$h) $$$JwtException("JWT已经过期") q $$$OK } /// w ##class(M.Jwt).SetJwt() ClassMethod GenerateJwt() { s headerPart = ..GenerateHeaderPart() s payloadPart = ..GeneratePayloadPart() s signaturePart = ..GenerateSignaturePart(headerPart, payloadPart) s jwt = headerPart _ ..#DOT _ payloadPart _ ..#DOT _ signaturePart q jwt } /// w ##class(M.Jwt).GenerateHeaderPart() /// eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJ0aHJvd3giLCJqaWQiOjEwMDg3LCJleHAiOjE2MTMyMjc0NjgxNjh9.7skduDGxV-BP2p_CXyr3Na7WBvENNl--Pm4HQ8cJuEs /// eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJ0aHJvd3giLCJqaWQiOjEwMDg3LCJleHAiOjE2MTMyMjc0NjgxNjh9.RkVBMjAwOEYwNzIwRDdENzI0MURCMzUxRjhGMzcyOUI5Mjc3MEYzOENFMjgxQjcyNTdDRTU3QTBEQTJDNTlCMw== ClassMethod GenerateHeaderPart() { s header = {} s header.alg = "HS256" s header.typ = "JWT" s headerPart = ..Base64UrlEncryption(header.%ToJSON()) q headerPart } /// w ##class(M.Jwt).GeneratePayloadPart() ClassMethod GeneratePayloadPart() { s payload = {} s payload.iss = ..#Sign s payload.jti = ##class(%SYSTEM.Encryption).GenCryptToken() s payload.exp = $zd(($h + 7), 3) _ " " _$zt($p($h, ",", 2), 1) s payload.nbf = $zdt($h, 3) s payload.iat = $zdt($h, 3) s payloadPart = ..Base64UrlEncryption(payload.%ToJSON()) q payloadPart } /// w ##class(M.Jwt).GenerateSignaturePart() /// eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJ0aHJvd3giLCJqaWQiOjEwMDg3LCJleHAiOjE2MTMyMjc0NjgxNjh9._qIAjwcg19ckHbNR-PNym5J3DzjOKBtyV85XoNosWbM ClassMethod GenerateSignaturePart(headerPart, payloadPart) { s content = headerPart _ ..#DOT _ payloadPart s signaturePart = ..HMACSHABase64Encode(content, ..#Key) q signaturePart } ClassMethod Base64UrlEncryption(str As %String) { s ret = $zcvt(str, "O", "UTF8") s ret = ##class(%SYSTEM.Encryption).Base64Encode(ret, 1) s ret = ..ConvertUrl(ret) q ret } ClassMethod ConvertUrl(str) { q $tr(str, "+/=", "-_") } ClassMethod Base64Decryption(str As %String) { s ret = ##class(%SYSTEM.Encryption).Base64Decode(str) q ret } /// w ##class(M.Jwt).HMACSHABase64Encode("eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJ5eCIsImp0aSI6IjY2MzkyMTU5IiwiZXhwIjoiMjAyMy0wMS0xOSAxMjoxNDozNCIsIm5iZiI6IjIwMjMtMDEtMTIgMTI6MTQ6MzQiLCJpYXQiOiIyMDIzLTAxLTEyIDEyOjE0OjM0In0","00000000111111112222222233333333") ClassMethod HMACSHABase64Encode(str As %Text, key As %String) As %String { s str = $zcvt(str, "O", "UTF8") s key = $zcvt(key, "O", "UTF8") s ret = ##class(%SYSTEM.Encryption).HMACSHA("256", str, key) s ret = ##class(%SYSTEM.Encryption).Base64Encode(ret, 1) s ret = ..ConvertUrl(ret) q ret } }
M.Jwt.inc
#define JwtException(%msg) ##class(M.JwtException).%New("",-100, %msg)
