安全认证机制之JWT

---

前言

  在我们实际开发中会接触到很多安全认证机制，诸如HTTP Basic Auth、OAuth、Cookie-session Auth、Token Auth、JWT等等，今天我们就来聊一下基于JWT的Token认证机制。

---

一、JWT是什么

  JSON Web Token （JWT） 是一个开放式标准（RFC 7519），它定义了一种紧凑且自成一体的方式，用于将各方之间的信息安全传输为 JSON 对象。此信息可以验证和信任，因为它是数字签名的。JWT 可以使用秘密（使用HMAC算法）或使用RSA或ECDSA的公/私密密钥对进行签名。

---

二、为什么要用JWT

与简单的 Web 令牌（SWT） 和安全断言标记语言令牌 （SAML）相比，让我们来谈谈 JSON Web 令牌（JWT）的好处。

• 由于 JSON 比 XML 更冗长，因此在编码时，其大小也更小，使 JWT 比 SAML 更紧凑。这使得 JWT 成为在 HTML 和 HTTP 环境中传递的一个不错的选择。

• 在安全性方面，SWT 只能通过使用 HMAC 算法的共享密秘密进行对称签名。但是，JWT 和 SAML 令牌可以使用以 X.509 证书形式形式的公共/私人密钥对进行签名。与签署 JSON 的简单性相比，在不引入模糊安全漏洞的情况下使用 XML 数字签名是非常困难的。

• JSON 解析器在大多数编程语言中很常见，因为它们直接映射到对象。相反，XML 没有自然的文档对对象映射。这使得与 JWT 合作比 SAML 断言更容易。

• 在使用方面，JWT 在互联网规模上使用。这突出了在多个平台（尤其是移动平台）上对 JSON Web 令牌进行客户端处理的便利性。

---

三、JWT的组成

• Header 头部

  ‎头‎‎通常‎‎由两个部分组成：令牌的类型（即 JWT）和正在使用的签名算法，如 HMAC SHA256 或 RSA。‎

  例如：

  {
    "alg": "HS256",
    "typ": "JWT"
  }
  

  ‎然后，此 JSON 是‎‎Base64Url‎‎编码，以形成 JWT 的第一部分。‎

• Payload 负载 (类似于飞机上承载的物品)

  令牌的第二部分是有效载荷，其中包含有效信息。有效信息包含三个部分：

  1. 注册的声明（建议但不强制使用）：

  iss: jwt签发者
  sub: jwt所面向的用户
  aud: 接收jwt的一方
  exp: jwt的过期时间，这个过期时间必须要大于签发时间
  nbf: 定义在什么时间之前，该jwt都是不可用的.
  iat: jwt的签发时间
  jti: jwt的唯一身份标识，主要用来作为一次性token,从而回避重放攻击。
  

  2. 公共的声明：

  公共的声明可以添加任何的信息，一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息，因为该部分在客户端可解密.

  3. 私有的声明：

  这些是为在同意使用它们的各方之间共享信息而创建的自定义声明，既不是注册的声明，也不是公共的声明。

  例如：

  {
    "sub": "1234567890",
    "name": "John Doe",
    "admin": true
  }
  

  ‎然后，对有效载荷进行‎Base64Url‎‎编码，以形成 JSON Web 令牌的第二部分。‎

  ewogICJzdWIiOiAiMTIzNDU2Nzg5MCIsCiAgIm5hbWUiOiAiSm9obiBEb2UiLAogICJhZG1pbiI6IHRydWUKfQ==
  

• Signature 签名/签证

  令牌的第三部分是签名，要创建签名，必须使用Base64Url‎编码后的Header头部、Base64Url‎编码后的Payload 载荷和一个secret（盐），Header头部和Payload 载荷使用.连接组成的字符串，通过header中声明的加密方式进行加盐secret组合加密，然后就构成了jwt的第三部分。

  ‎例如，如果您想要使用 HMAC SHA256 算法，则会以以下方式创建签名：‎

  HMACSHA256(
    base64UrlEncode(header) + "." +
    base64UrlEncode(payload),
    secret)
  

  签名用于验证信息，在途中没有更改，并且对于使用私人密钥签名的令牌，还可以验证 JWT 的发送者是否为其所声明的发送者。

  注意：secret是保存在服务器端的，jwt的签发生成也是在服务器端的，secret就是用来进行jwt的签发和jwt的验证，所以，它就是你服务端的私钥，在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

---

四、JWT的应用场景

• Authentication（鉴权） ： 这是使用JWT最常见的情况。 一旦用户登录，每个后续请求都将包含JWT，允许用户访问该令牌允许的路由，服务和资源。 单点登录是当今广泛使用JWT的一项功能，因为它的开销很小，并且能够轻松地跨不同域使用。

• Information Exchange（信息交换） ： JSON Web Tokens是在各方之间安全传输信息的好方式。 因为JWT可以签名：例如使用公钥/私钥对，所以可以确定发件人是他们自称的人。 此外，由于使用标头和有效载荷计算签名，因此您还可以验证内容是否未被篡改。

---

总结

• 本文简单讲述了JWT是什么，有哪些部分组成的，有什么应用场景等等。
• 欢迎大家提出建议以及批评，有任何问题可以私信。