5 为什么令牌要编码且签名?
授权服务颁发JWT后给到xx软件,xx拿着令牌请求受保护资源服务,即我在公众号里的文章。显然令牌要在公网传输。
所以传输过程令牌还要做到:
- 编码,以防乱码
- 签名及加密,以防数据信息泄露。
JJWT是开源较方便的JWT工具,开箱即用。封装Base64URL编码和对称HMAC、非对称RSA的一系列签名算法。
使用JJWT可方便生成一个经过签名的JWT令牌,以及解析一个JWT令牌。
String sharedTokenSecret="hellooauthhellooauthhellooauthhellooauth";//密钥 Key key = new SecretKeySpec(sharedTokenSecret.getBytes(), SignatureAlgorithm.HS256.getJcaName()); //生成JWT令牌 String jwts= Jwts.builder().setHeaderParams(headerMap).setClaims(payloadMap).signWith(key,SignatureAlgorithm.HS256).compact() //解析JWT令牌 Jws<Claims> claimsJws =Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(jwts); JwsHeader header = claimsJws.getHeader(); Claims body = claimsJws.getBody();
6 优点
6.1 计算代替存储
时间换空间。
这种计算并结构化封装,减少了“共享DB” 因远程调用而带来的网络传输性能损耗,所以可能节省时间。
6.2 加密
因JWT令牌内部已包含重要信息,所以传输过程都必须被要求密文传输,被强制要求加密也保障了传输安全性。
6.3 增强系统可用性和可伸缩性
JWT令牌,通过“自编码”方式包含身份验证需信息,不再需要服务端额外存储,所以每次的请求都是无状态会话。符合尽可能遵循无状态架构设计原则,即增强了系统可用性和伸缩性。
6.4 降低 AuthServer 压力
客户端获取令牌后,后续资源服务器可做自校验,无需到AuthServer校验。
6.5 简化AuthServer实现
无需对用户状态会话进行维护和管理
7 缺点
无状态和吊销无法两全
- 无法在使用过程中修改令牌状态。
比如我在使用xx时,可能因为莫须有原因修改了在公众号平台的密码或突然取消了给xx的授权。这时,令牌状态就该有变更,将原来对应令牌置无效。 - 但使用JWT时,每次颁发的令牌都不会存在服务端,无法改变令牌状态。这表示JWT令牌在有效期内畅通无阻。
那么可以把JWT令牌存储在一个分布式内存数据库比如Redis中吗?
NO!这违背JWT意义 - 将信息结构化存入令牌本身。通常有两种方案:
将每次生成JWT令牌时的秘钥粒度缩小到用户级别,即一个用户一个秘钥
如此,当用户取消授权或修改密码,可让该密钥一起修改。这种方案一般还需配套单独密钥管理服务
在不提供用户主动取消授权的环境里面,若只考虑修改密码场景,即可把用户密码作为JWT的密钥。这也是用户粒度。这样用户修改密码也就相当于修改了密钥。
网络传输开销
随 claims 增多而增大。
8 令牌的生命周期
令牌都有有效期,只是JWT可把有效期的信息存在本身结构。
OAuth 2.0的令牌生命周期,通常有三种情况:
- 令牌自然过期
- 该过程不排除主动销毁令牌的可能,比如令牌被泄露,授权服务可让令牌失效。
访问令牌失效后可使用刷新令牌请求新令牌,提高用户使用三方软件的体验。
让三方软件比如xx,主动发起令牌失效请求,然后授权服务收到请求后让令牌立即失效。
何时需要该机制?
比如用户和三方软件间存在一种订购关系:我购买了xx软件,那么到期或退订时且我授权的token还未到期情况下,就需这样一种令牌撤回协议,支持xx主动发起令牌失效请求。作为开放平台,也建议有责任的三方软件遵守这样的一种令牌撤回协议。
9 总结
OAuth 2.0 的核心是授权服务,没有令牌就没有OAuth,令牌表示授权后的结果。令牌在OAuth 2.0系统中对于第三方软件都是不透明的。需要关心令牌的,是授权服务和受保护资源服务。
JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次
JWT 不加密的情况下,不能将秘密数据写入 JWT
JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数
JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑
JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证
为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输
参考
- JSON Web Token 入门教程
- 在OAuth 2.0中,如何使用JWT结构化令牌?
- https://tools.ietf.org/html/rfc6749#section-4.4
