詳解JSONWebToken入門教程

JSON Web Token（縮寫 JWT）是目前最流行的跨域認(rèn)證解決方案，本文介紹它的原理和用法。

創(chuàng)新互聯(lián)堅(jiān)持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：做網(wǎng)站、成都網(wǎng)站建設(shè)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時(shí)代的巧家網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

一、跨域認(rèn)證的問題

互聯(lián)網(wǎng)服務(wù)離不開用戶認(rèn)證。一般流程是下面這樣。

1、用戶向服務(wù)器發(fā)送用戶名和密碼。

2、服務(wù)器驗(yàn)證通過后，在當(dāng)前對(duì)話（session）里面保存相關(guān)數(shù)據(jù)，比如用戶角色、登錄時(shí)間等等。

3、服務(wù)器向用戶返回一個(gè) session_id，寫入用戶的 Cookie。

4、用戶隨后的每一次請(qǐng)求，都會(huì)通過 Cookie，將 session_id 傳回服務(wù)器。

5、服務(wù)器收到 session_id，找到前期保存的數(shù)據(jù)，由此得知用戶的身份。

這種模式的問題在于，擴(kuò)展性（scaling）不好。單機(jī)當(dāng)然沒有問題，如果是服務(wù)器集群，或者是跨域的服務(wù)導(dǎo)向架構(gòu)，就要求 session 數(shù)據(jù)共享，每臺(tái)服務(wù)器都能夠讀取 session。

舉例來說，A 網(wǎng)站和 B 網(wǎng)站是同一家公司的關(guān)聯(lián)服務(wù)。現(xiàn)在要求，用戶只要在其中一個(gè)網(wǎng)站登錄，再訪問另一個(gè)網(wǎng)站就會(huì)自動(dòng)登錄，請(qǐng)問怎么實(shí)現(xiàn)？

一種解決方案是 session 數(shù)據(jù)持久化，寫入數(shù)據(jù)庫或別的持久層。各種服務(wù)收到請(qǐng)求后，都向持久層請(qǐng)求數(shù)據(jù)。這種方案的優(yōu)點(diǎn)是架構(gòu)清晰，缺點(diǎn)是工程量比較大。另外，持久層萬一掛了，就會(huì)單點(diǎn)失敗。

另一種方案是服務(wù)器索性不保存 session 數(shù)據(jù)了，所有數(shù)據(jù)都保存在客戶端，每次請(qǐng)求都發(fā)回服務(wù)器。JWT 就是這種方案的一個(gè)代表。

二、JWT 的原理

JWT 的原理是，服務(wù)器認(rèn)證以后，生成一個(gè) JSON 對(duì)象，發(fā)回給用戶，就像下面這樣。

{
 "姓名": "張三",
 "角色": "管理員",
 "到期時(shí)間": "2018年7月1日0點(diǎn)0分"
}

以后，用戶與服務(wù)端通信的時(shí)候，都要發(fā)回這個(gè) JSON 對(duì)象。服務(wù)器完全只靠這個(gè)對(duì)象認(rèn)定用戶身份。為了防止用戶篡改數(shù)據(jù)，服務(wù)器在生成這個(gè)對(duì)象的時(shí)候，會(huì)加上簽名（詳見后文）。

服務(wù)器就不保存任何 session 數(shù)據(jù)了，也就是說，服務(wù)器變成無狀態(tài)了，從而比較容易實(shí)現(xiàn)擴(kuò)展。

三、JWT 的數(shù)據(jù)結(jié)構(gòu)

實(shí)際的 JWT 大概就像下面這樣。

它是一個(gè)很長(zhǎng)的字符串，中間用點(diǎn)（.）分隔成三個(gè)部分。注意，JWT 內(nèi)部是沒有換行的，這里只是為了便于展示，將它寫成了幾行。

JWT 的三個(gè)部分依次如下。

• Header（頭部）
• Payload（負(fù)載）
• Signature（簽名）

寫成一行，就是下面的樣子。

Header.Payload.Signature

下面依次介紹這三個(gè)部分。

3.1 Header

Header 部分是一個(gè) JSON 對(duì)象，描述 JWT 的元數(shù)據(jù)，通常是下面的樣子。

{
 "alg": "HS256",
 "typ": "JWT"
}

上面代碼中，alg屬性表示簽名的算法（algorithm），默認(rèn)是 HMAC SHA256（寫成 HS256）；typ屬性表示這個(gè)令牌（token）的類型（type），JWT 令牌統(tǒng)一寫為JWT。

最后，將上面的 JSON 對(duì)象使用 Base64URL 算法（詳見后文）轉(zhuǎn)成字符串。

3.2 Payload

Payload 部分也是一個(gè) JSON 對(duì)象，用來存放實(shí)際需要傳遞的數(shù)據(jù)。JWT 規(guī)定了7個(gè)官方字段，供選用。

1. iss (issuer)：簽發(fā)人
2. exp (expiration time)：過期時(shí)間
3. sub (subject)：主題
4. aud (audience)：受眾
5. nbf (Not Before)：生效時(shí)間
6. iat (Issued At)：簽發(fā)時(shí)間
7. jti (JWT ID)：編號(hào)

除了官方字段，你還可以在這個(gè)部分定義私有字段，下面就是一個(gè)例子。

{
 "sub": "1234567890",
 "name": "John Doe",
 "admin": true
}

注意，JWT 默認(rèn)是不加密的，任何人都可以讀到，所以不要把秘密信息放在這個(gè)部分。

這個(gè) JSON 對(duì)象也要使用 Base64URL 算法轉(zhuǎn)成字符串。

3.3 Signature

Signature 部分是對(duì)前兩部分的簽名，防止數(shù)據(jù)篡改。

首先，需要指定一個(gè)密鑰（secret）。這個(gè)密鑰只有服務(wù)器才知道，不能泄露給用戶。然后，使用 Header 里面指定的簽名算法（默認(rèn)是 HMAC SHA256），按照下面的公式產(chǎn)生簽名。

HMACSHA256(
 base64UrlEncode(header) + "." +
 base64UrlEncode(payload),
 secret)

算出簽名以后，把 Header、Payload、Signature 三個(gè)部分拼成一個(gè)字符串，每個(gè)部分之間用"點(diǎn)"（.）分隔，就可以返回給用戶。

3.4 Base64URL

前面提到，Header 和 Payload 串型化的算法是 Base64URL。這個(gè)算法跟 Base64 算法基本類似，但有一些小的不同。

JWT 作為一個(gè)令牌（token），有些場(chǎng)合可能會(huì)放到 URL（比如 api.example.com/?token=xxx）。Base64 有三個(gè)字符+、/和=，在 URL 里面有特殊含義，所以要被替換掉： =被省略、+替換成-，/替換成_ 。這就是 Base64URL 算法。

四、JWT 的使用方式

客戶端收到服務(wù)器返回的 JWT，可以儲(chǔ)存在 Cookie 里面，也可以儲(chǔ)存在 localStorage。

此后，客戶端每次與服務(wù)器通信，都要帶上這個(gè) JWT。你可以把它放在 Cookie 里面自動(dòng)發(fā)送，但是這樣不能跨域，所以更好的做法是放在 HTTP 請(qǐng)求的頭信息Authorization字段里面。

Authorization: Bearer <token>

另一種做法是，跨域的時(shí)候，JWT 就放在 POST 請(qǐng)求的數(shù)據(jù)體里面。

五、JWT 的幾個(gè)特點(diǎn)

（1）JWT 默認(rèn)是不加密，但也是可以加密的。生成原始 Token 以后，可以用密鑰再加密一次。

（2）JWT 不加密的情況下，不能將秘密數(shù)據(jù)寫入 JWT。

（3）JWT 不僅可以用于認(rèn)證，也可以用于交換信息。有效使用 JWT，可以降低服務(wù)器查詢數(shù)據(jù)庫的次數(shù)。

（4）JWT 的最大缺點(diǎn)是，由于服務(wù)器不保存 session 狀態(tài)，因此無法在使用過程中廢止某個(gè) token，或者更改 token 的權(quán)限。也就是說，一旦 JWT 簽發(fā)了，在到期之前就會(huì)始終有效，除非服務(wù)器部署額外的邏輯。

（5）JWT 本身包含了認(rèn)證信息，一旦泄露，任何人都可以獲得該令牌的所有權(quán)限。為了減少盜用，JWT 的有效期應(yīng)該設(shè)置得比較短。對(duì)于一些比較重要的權(quán)限，使用時(shí)應(yīng)該再次對(duì)用戶進(jìn)行認(rèn)證。

（6）為了減少盜用，JWT 不應(yīng)該使用 HTTP 協(xié)議明碼傳輸，要使用 HTTPS 協(xié)議傳輸。

六、參考鏈接

Introduction to JSON Web Tokens， by Auth0
Sessionless Authentication using JWTs (with Node + Express + Passport JS), by Bryan Manuele
Learn how to use JSON Web Tokens, by dwyl

以上就是本文的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持創(chuàng)新互聯(lián)。

文章題目：詳解JSONWebToken入門教程
網(wǎng)站路徑：http://muchs.cn/article8/jchiip.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信公眾號(hào)、標(biāo)簽優(yōu)化、App開發(fā)、網(wǎng)頁設(shè)計(jì)公司、企業(yè)網(wǎng)站制作、App設(shè)計(jì)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)