1. 程式人生 > >JSON Web Token入門基礎筆記

JSON Web Token入門基礎筆記

一、什麼是 JSON Web Token

JSON Web Token(JWT)是一個開放式標準(RFC 7519);用於在各方之間以JSON物件安全傳輸資訊。這些資訊可以通過數字簽名進行驗證和信任。可以使用祕密(使用HMAC演算法)或使用RSA的公鑰/私鑰對對JWT進行簽名

二、什麼時候用 JSON Web Token

下面是一些JSON Web Token很有用的場景:

一、授權:這是使用JWT最常見的場景。一旦使用者登入,隨後的每個請求都將包括JWT,允許使用者訪問該令牌允許的路由、服務和資源。單點登入是目前廣泛使用JWT的一個特性,因為它的開銷很小,而且可以在不同領域輕鬆使用 二、資訊交換

:JSON Web Token是在各方之間安全傳輸資訊的好方法。因為JWTs能做簽名;例如,使用公鑰/私鑰 鍵值對,你能確保傳送者的真實身份;此外,由於簽名是使用頭和有效負載計算的,您還可以驗證內容是否被篡改

三、JSON Web Token的結構

以緊湊的格式、JSON Web Token 以.分隔並由 header、Payload、Signature 三部分組成。 形如:xxxxx.yyyyy.zzzzz

Header

這 Header 部分,通常由兩部分組成: token型別(JWT) 和 使用的雜湊演算法、例如:HMAC SHA256 or RSA.

{
  "alg": "HS256"
, "typ": "JWT" }

header 使用 Base64Url 編碼,組成JWT的第一部分。

Payload

這第二部分是payload(負載),包括許多claims, claims 通過使用一個實體(通常是使用者資訊)和一些附加資訊。有三種類型的claims :registered, public, and private claims

  • Registered claims : 這裡有一些預先定義好的claims。他們不是強制的、但是是推薦的。他們十分有用,實現可互操作 。例如: iss (issuer), exp (expiration time), sub (subject), aud (audience) 等

iss: 該JWT的簽發者 sub: 該JWT所面向的使用者 aud: 接收該JWT的一方 exp(expires): 什麼時候過期,這裡是一個Unix時間戳 iat(issued at): 在什麼時候簽發的

  • Pulbic Claims :這些可以由使用JWTs的人隨意定義。但是為了避免衝突,它們應該在IANA JSON Web Token Registry中定義,或者定義為包含抗衝突名稱空間的URI。
  • Private claims

典型的payload 例子:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

payload 使用Base64Url編碼組成JSON Web Token的第二部分。

Signature

要建立簽名部分,您必須使用編碼的標頭、編碼的有效負載、祕密、標頭中指定的演算法,並進行簽名

例如,如果您想使用HMAC SHA256演算法,簽名將按照以下方式建立

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

四、JWT 的使用方式

客戶端收到伺服器返回的JWT,可以儲存在Cookie 裡面,也可以儲存在 localStorage此後,客戶端每次與伺服器通訊,都要帶上這個 JWT。你可以把它放在 Cookie 裡面自動傳送,但是這樣不能跨域,所以更好的做法是放在 HTTP 請求的頭資訊Authorization欄位裡面。

Authorization: Bearer <token>

另一種做法是,跨域的時候,JWT 就放在 POST 請求的資料體裡面

五、JSON Web Token的特點

JWT的優點:

  • 體積小,因而傳輸速度更快
  • 多樣化的傳輸方式,可以通過URL傳輸、POST傳輸、請求頭Header傳輸(常用)
  • 簡單方便,服務端拿到jwt後無需再次查詢資料庫校驗token可用性,也無需進行redis快取校驗
  • 在分散式系統中,很好地解決了單點登入問題
  • 很方便的解決了跨域授權問題,因為跨域無法共享cookie

JWT的缺點:

  • JWT 的最大缺點是,由於伺服器不儲存 session 狀態,因此無法在使用過程中廢止某個 token,或者更改 token 的許可權。也就是說,一旦 JWT 簽發了,在到期之前就會始終有效,除非伺服器部署額外的邏輯
  • 獲取到jwt也就擁有了登入許可權,因此jwt是不可洩露的,網站最好使用https,防止中間攻擊偷取jwt

JWT被確實存在被竊取的問題,但是如果能得到別人的token,其實也就相當於能竊取別人的密碼,這其實已經不是JWT安全性的問題。網路是存在多種不安全性的,對於傳統的session登入的方式,如果別人能竊取登入後的sessionID,也就能模擬登入狀態,這和JWT是類似的。為了安全,https加密非常有必要,對於JWT有效時間最好設定短一點

六、程式碼示例(demo)

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

/**
 * APP登入Token的生成和解析
 *
 */
public class JwtToken {

    /** token祕鑰,請勿洩露,請勿隨便修改 backups:JKKLJOoasdlfj */
    public static final String SECRET = "JKKLJOoasdlfj";
    /** token 過期時間: 10天 */
    public static final int calendarField = Calendar.DATE;
    public static final int calendarInterval = 10;

    /**
     * JWT生成Token.<br/>
     * JWT構成: header, payload, signature
     * @param user_id 登入成功後用戶user_id, 引數user_id不可傳空
     */
    public static String createToken(Long user_id) throws Exception {
        Date iatDate = new Date();
        // expire time
        Calendar nowTime = Calendar.getInstance();
        nowTime.add(calendarField, calendarInterval);
        Date expiresDate = nowTime.getTime();

        // header Map
        Map<String, Object> map = new HashMap<>();
        map.put("alg", "HS256");
        map.put("typ", "JWT");

        String token = JWT.create().withHeader(map) // header
                .withClaim("iss", "Service") // payload
                .withClaim("aud", "APP").withClaim("user_id", null == user_id ? null : user_id.toString())
                .withIssuedAt(iatDate) // sign time
                .withExpiresAt(expiresDate) // expire time
                .sign(Algorithm.HMAC256(SECRET)); // signature

        return token;
    }

    /**
     * 解密Token
     *
     * @param token
     * @return
     * @throws Exception
     */
    public static Map<String, Claim> verifyToken(String token) {
        DecodedJWT jwt = null;
        try {
            JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET)).build();
            jwt = verifier.verify(token);
        } catch (Exception e) {
             e.printStackTrace();
        }
        return jwt.getClaims();
    }

}

七、參考: