什么是jwt？json web token-阿里云开发者社区

什么是jwt？json web token

2022-06-28 154

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 什么是jwt？json web token

那这个 Token 是个什么样的呢？

RFC 并没有明确规定；

不过业内比较常见的方案是使用 JWT ；

JWT 是 JSON Web Token 的缩写；

要学习 JWT 我们可以拿 session 作为参照物；

在传统开发中我们在用户登录后会创建一个 session 文件 xxx ；

用户的 id 等信息就存储在 xxx 文件中；

接着会在 Set-Cookie 中返回 xxx 作为 session_id ；

以后前端请求的时候就会在 cookie 中携带 xxx ;

服务器端根据 xxx 从文件中读取用户信息；

从上面的流程我们可以看出要验证一个用户需要有两步；

传递 session 文件名
根据文件名从文件中获取用户信息

那我们可不可以不传文件名；

服务器端直接返回用户信息组成的认证字符串；

以后前端就把认证字符串发送给服务器端；

服务器端从认证字符串中获取用户信息；

这样只需要一步就可以验证用户；

不需要 session 文件的参与了；

但是这里面有两个问题需要解决；

怎么用字符串保存用户信息
如何防止篡改即服务器端如何信任前端发送的用户信息字符串是真实有效的；

既然本文的标题是 JWT ；

那是时候开始 JWT 的表演了；

下面就有请 JWT 来解决上面的问题；

JWT 定义这个认证字符串为三段；

Header(头部) . Payload(负载) . Signature(签名) ;

Header

头部是一个 JSON ；

{
  "alg": "HS256",
  "typ": "JWT"
}

JSON

Copy

字段	全称	描述
alg	algorithm	是签名的算法；一般是 HS256
typ	type	固定值为 JWT

Payload

负载同样是一个 JSON ；

{
    "iss": "d8b832c0c8caf0d99e9406ed",
    "sub": "1",
    "aud": "baijunyao",
    "iat": "1557066830",
    "nbf": "1557066840",
    "exp": "1557066850",
    "jti": "9e9668d8b8306ed8caf0d94"
}

JSON

Copy

字段	全称	描述
iss	issuer	发布者
sub	subject	面向的用户；一般是用户的 id
aud	audience	受众；比如说之前 OAuth 系列中的 client id
iat	issued at	签发时间的时间戳
nbf	not before	生效时间的时间戳
exp	expiration time	过期时间的时间戳
jti	jwt id	每个 JWT 自己的唯一 id

上面这些是 JWT 协议定义的信息；

负载中还可以存放自定义的信息；

Signature

签名的作用是保证头部和负载的信息不能被篡改；

默认使用 HS256 算法进行签名；

如果对 HS256 不了解的话可以先简单的把它约等于 MD5 加盐；

HS256 需要一个 Secret ；

这个 Secret 是保存在服务器端的不可以泄露；

否则别人就可以伪造 JWT 了；

签名的方式是把头部和负载分别 base64UrlEncode 后用 . 拼接起来使用 Secret 进行 HS256 ；

Signature = HS256(base64UrlEncode(Header) . base64UrlEncode(Payload), Secret)

PHP

Copy

我从 jwt.io 上粘贴个例子；

至此头部、负载、签名我们已经凑齐了；

我们把 base64UrlEncode 的头部和负载以及签名用 . 拼接起来就是一个 JWT 了；

JWT = base64UrlEncode(Header) . base64UrlEncode(Payload) . HS256(base64UrlEncode(Header) . base64UrlEncode(Payload), Secret)

PHP

Copy

认真观察上面这个生成 JWT 的过程；

此处一个送命题；

敲黑板画重点了；

Secret 只是用于签名；

并没有用于加密；

JWT 中的 Header 和 Payload 是使用 base64UrlEncode 进行加密的；

任何人都可以非常轻松的就使用 base64UrlDecode 进行解密；

所以虽然 Payload 中可以存储自定义的信息；

但千万不能存储敏感信息；

JWT 是由服务器端生成返回给前端的；

前端在发送请求的时候一般把 JWT 放在 HTTP Headers 中的 Authorization 字段中；

Accept: */*
Host: baijunyao.com
Authorization: Bearer JWT_xxxx
...

Bash

Copy

终于讲的差不多了；

接着来总结下 JWT 的优缺点吧；

优点

相比于 session 少了读取文件的步骤，效率更高，方便扩展
因为不使用 cookie 天生免疫 CSRF 攻击
因为不使用 cookie 不用担心用户禁用 cookie ；不用悬挂本站需要使用 cookie 的提示信息；
适合 APP 前后端分离的场景

缺点

一旦签发不能撤销没有类似清空 session 的操作
不能自动续签

针对上面缺点的解决方案；

使用黑名单机制；把作废的 JWT 放入黑名单；但是这样就引入了状态；相比 session 就没有那么大的优势了；
使用 OAuth 中的 refresh_token

什么是jwt？json web token

Header

Payload

Signature

优点

缺点

热门文章

最新文章

相关课程

相关电子书

相关实验场景