2. 程式人生 > >引數傳遞機制之JWT

引數傳遞機制之JWT

阿新 發佈:2019-07-02

1. 什麼是 JWT

JWT 其全稱為:JSON Web Token,簡單地說就是 JSON 在 Web 上的一種帶簽名的標記形式。官方的定義如下:

JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.

即:JSON Web Token (JWT)是一個開放標準(RFC 7519),它定義了一種緊湊的、自包含的方式,用於作為JSON物件在各方之間安全地傳輸資訊。

2. 有什麼作用

對資訊進行簽名之後再進行傳輸有什麼作用,JWT 就有什麼作用。它能起的作用,決定了在專案的需求中是否有必要使用它,它自身的本質決定了它適合的場景。

本質上,JWT 跟自己對資訊加個簽名沒有區別。

那使用它的理由是什麼呢?

(1)它建立了一個標準併為多數人認識和接受,這樣一來就可以形成標準庫,使用者可以共享。

(2)它形成了一些最佳實踐,這種實踐過程包括了引數安全傳遞的諸多常見方面,如 exp 到期時間屬性的定義來規定簽名有效期等。按照最佳實踐中對一些 JSON 屬性的明確定義,再加上標準庫對它的貫徹實現,會帶來很多便利。

(3)將其作為 Token 放在請求的 header 中,作為無狀態的鑑權方式很適合目前多站點應用的場景。

但最佳實踐和其特性不能混為一談,具體到應用場景,仍然可以利用其特性作適合該場景的其它發揮。

3. 引數訪問控制演化

(1)直接傳參

http://*/api?p1=*&p2=*

這種方式,不進行訪問的許可權的判斷,公開可直接訪問。

(2)帶KEY傳參

http://*/api?p1=*&p2=*&key=

這種方式需要知道正確的 KEY 才能訪問,但 KEY 明文附在後面易洩露。

(3)帶簽名傳參

這種方式,將 KEY 作為簽名演算法的加密條件,不明文顯示,不知道 KEY 則無法生成相應的簽名,感覺不錯。不足在於,簽名一次之後訪問連結一直為有效會帶有風險。

http://*/api?p1=*&p2=*&sign=

其中籤名部分,如採用 md5 方式,key 作為運算的一部分。

sign=md5(p1+p2+key)

(4)帶時間戳簽名

引數中帶上簽名時的時間戳,時間戳會參與簽名演算法,服務端不僅檢測簽名的有效性,還會比較時間是否在合理範圍內,如 5 分鐘以內,如此一來,連結在一段時間之後就會失效。

http://*/api?p1=*&p2=*&timestamp=*&sign=

其中籤名部分,如採用 md5 方式,time,key 均作為運算的一部分。

sign=md5(p1+p2+time+key)

(5)獨立鑑權引數簽名

將鑑權部分獨立出來簽名,這樣的好處就是鑑權部分獨立的判斷過程,其它形參不再需要參與這個簽名與判斷過程。

引數可使用 JSON 形式,於是可以讓其變成以下形式:

鑑權傳輸部分形式如:{p1:abcd,p2:abcd}.sign

其中,簽名部分,如採用 md5 方式,將 JSON 字串與 key 拼接運算,並且使用連線符.點,如下。

sign=md5({p1:abcd,p2:abcd}.key)

(6)帶頭部的獨立鑑權部分

為了更加靈活的,將鑑權部分加個頭部。頭部用來幹什麼呢,可以指定簽名演算法,或以後可能要更多擴充套件引數用,如以下形式。

{alg:MD5}.{p1:abcd,p2:abcd}.sign

簽名部分,為前兩部分再連線上 key 一起運算。

sign=md5({alg:MD5}.{p1:,p2:}.key)

(7)最終標準化為 JWT 形式

頭部稱之為 header,資料部分稱之為 payload,簽名部分為 signature。

(7.1) header 不使用明文,採用其 base64 形式

(7.2) payload 不使用明文,採用其 base64 形式

(7.3) signature 為前兩者(都是 base64 形式)通過 . 點連線,再採用 header 中指定的簽名演算法簽名的結果。

(7.4) 最終形式為 base64(header).base64(payload).signature

(7.5) base64 考慮到URL編碼,將=去掉,+號變成-,/變成_ 處理。

(7.6) 最終字串通過作為請求 header 進行傳輸。

4. 最簡實現

給定一個簽名用的 sercretKey 和 payload,生成成符合要求的 JWT 字串。多數時候,需求可能就是這樣簡單,至於簽名演算法,這裡就使用一般預設的HS256。則需要的功能函式大致是:

func getJwt (payload){
    var content = base64({"alg":"HS256","typ":"JWT"}) + . + base64(payload)
    var signature = base46( sign(content, sercretKey)  )
    return content + . + sign
}

C# 的例項程式碼,這裡給出一個 C# 的 JWT 輔助類,其中 JObject 引用了 Newtonsoft.Json 包。

    public class JWTHelper
    {
        #region 工具函式準備

        /// <summary>
        /// 對字串 Base64 編碼,並且替換 = + / 為 "" - _
        /// </summary>
        /// <param name="str"></param>
        /// <returns></returns>
        public static string Base64URL(string str)
        {
            return Convert.ToBase64String(Encoding.UTF8.GetBytes(str)).Replace("=", "").Replace("+", "-").Replace("/", "_");
        }

        /// <summary>
        /// 對位元組陣列 Base64 編碼,並且替換 = + / 為 "" - _
        /// </summary>
        /// <param name="bs"></param>
        /// <returns></returns>
        public static string Base64URL(byte[] bs)
        {
            return Convert.ToBase64String(bs).Replace("=", "").Replace("+", "-").Replace("/", "_");
        }

        /// <summary>
        /// HMAC SHA256
        /// </summary>
        /// <param name="str"></param>
        /// <returns></returns>
        public static string HS256(string str, string key)
        {
            var encoding = new System.Text.UTF8Encoding();
            byte[] keyByte = encoding.GetBytes(key);
            byte[] messageBytes = encoding.GetBytes(str);
            using (var hmacsha256 = new HMACSHA256(keyByte))
            {
                byte[] hashmessage = hmacsha256.ComputeHash(messageBytes);
                return Base64URL(hashmessage);  
            }
        }

        #endregion

        /// <summary>
        /// 生成簽名後的 JWT 最終字串。
        /// 為了簡化示例,這裡使用簽名演算法就設定為:HS256
        /// header = {"alg":"HS256","typ":"JWT"}
        /// </summary>
        /// <param name="payload"></param>
        /// <param name="key"></param>
        /// <returns></returns>
        public static string Sign(JObject payload, String key)
        {
            JObject header = new JObject();
            header["alg"] = "HS256";
            header["typ"] = "JWT";

            string h = Base64URL(header.ToString(Formatting.None));
            string p = Base64URL(payload.ToString(Formatting.None));

            string s = HS256(h + "." + p, key);
            return String.Format("{0}.{1}.{2}", h, p, s);
        }
    }

使用以下程式碼測試一下:

JObject payload = new JObject();
payload["username"] = "xxx";
Console.Write(JWTHelper.Sign(payload, "123fd"));

得到結果

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6Inh4eCJ9.1C28A5CqMa70FLtUQh4pwSZWPlZhbQ-ZeYs38K_sqks

在 https://jwt.io/ 上,可以驗證一下,得到了同樣的結果。

5. 具體使用

顯然,它也會存在一些問題,如通過 base64 解碼看到明文,或者是在有效期內取得整個 token 進行訪問等。所以使用是根據需要來的。而且,也可以在 JWT 上進一步加入自定義的新機制來應對更多的場景。

以下這篇文章列出了一些問題與趨勢,可供參考。

https://baijiahao.baidu.com/s?id=1608021814182894637

更多細節可參考:https://www.cnblogs.com/cjsblog/p/9277677.h

相關推薦

引數傳遞機制JWT

1. 什麼是 JWT JWT 其全稱為:JSON Web Token,簡單地說就是 JSON 在 Web 上的一種帶簽名的標記形式。官方的定義如下: JSON Web Tokens are an open, industry standard RFC 7519 method for representing

引數傳遞機制

Java 中,方法中的所有引數都是“值傳遞”,也就是“傳遞的是值的副本”.也就是說,我們得到的是“原引數的影印件,而不是原件”.因此,影印件改變不會影響原件. 1 基本資料型別引數的傳值 傳遞的是值的副本,副本改變不會影響原件 2 引用型別引數的傳值 傳遞的是值

Java基礎(五)Java中的引數傳遞機制

通過前一篇文章的介紹,我們從整體上明白了,Java類中變數的差異性、不同變數在記憶體中的儲存位置,以及變數的生命週期等。今天,我們來看一下Java中引數傳遞的機制。 形參:方法宣告時包含的引數宣告 實參:呼叫方法時,實際傳給形參的引數值 Java方法的引數傳遞機制:

Java - 引數傳遞機制

Java 中,方法中的所有引數都是“值傳遞”,也就是“傳遞的是值的副本”.也就是說,我們得到的是“原引數的影印件,而不是原件”.因此,影印件改變不會影響原件. 1 基本資料型別引數的傳值 傳遞的是值的副本,副本改變不會影響原件 2 引用型別引數的傳值 傳遞的是值的副本.但是應用型別指的是

訊息傳遞機制EventBus的使用詳細

 EventBus是怎樣管理事件匯流排的, 是不是最佳處理訊息的方案?讓我們一同來學習和認識.EventBus由來    在面對應用程式內元件間, 元件與後臺執行緒間的通訊. 又如我們在處理耗時操作時, 等到耗時操作完成後通過Handler或者Broadcast去更新UI,

訊息傳遞機制元件之間訊息傳遞

通常在元件之間傳遞訊息,我們會採用廣播形式 , 自定義介面形式 , EventBus來實現BroadCastReceiver建立廣播private BroadcastReceiver receiver = new BroadcastReceiver() { @Over

從ArrayList說起的JAVA複製與引數傳遞機制

這兩者都算是java基礎中的基礎,平常寫程式碼可能並沒有過多的去深究它,但這樣容易引發一些不可預知的BUG。 這裡有一個簡單的類,文章中會提到多次。 一個學生類,它有兩個屬性,String型別的name與Integer型別的age。 public cl

python中的*和**引數傳遞機制

python的引數傳遞機制具有值傳遞(int、float等值資料型別)和引用傳遞(以字典、列表等非值物件資料型別為代表)兩種基本機制以及方便的關鍵字傳遞特性(直接使用函式的形參名指定實參的傳遞目標,如函式定義為def f(a,b,c),那麼在呼叫時可以採用f(b

c語言的函式引數傳遞機制

看《深入理解計算機系統》覺得深入理解了函式之間的引數傳遞,但是今天一寫程式碼就出錯了。 函式對接收進來的引數都會在自己的執行時間和空間內(棧段和暫存器)有一個拷貝,所有都是,指標也是,只不過指標指向地址還是那個。 程式碼一,引數為普通變數 void foo(int a)

React Native函式作為引數傳遞給另外一個函式去呼叫

1 用法 我們一般喜歡把js裡面的函式作為引數傳遞給另外一個函式,然後再呼叫這個函式,有點像C語言裡面的函式指標         2 程式碼測試 寫了一個函式,2個引數分別是函式,然後更具資料決定呼叫哪個函式 /** *

SpringMVC引數傳遞

1. 通過設定HttpServletRequest request 來獲取資料 jsp頁面: <form action="user/add1.do" method="post"> 賬號:<input type="text" name="userNumber" /

java引數傳遞問題

同C語言中的函式引數類似。一般的形式引數不能改變實際引數的數值 陣列名作為形式引數可以改變實際引數的數值,可以將java中的陣列名和C語言中的指標相對比,更好的學習 class CanShu{ public static void main(String[] args){ in

JmeterBean shell使用(三)——執行緒組之間的引數傳遞

場景測試中,一次登入後做多個介面的操作,然後登入後的uid需要關聯傳遞給其他介面傳送請求的時候使用。 1、在登入介面響應資訊中提取uid欄位值   1>login請求 -->新增 -->後置處理器--> bean shell postprocessor   2>

針對SpringBoot專案中的引數傳遞使用RSA加密機制保證安全性進行封裝成工具

spring-boot-starter-security 1 概述 針對SpringBoot專案中的引數傳遞使用RSA加密機制保證安全性進行封裝成工具,實現自動加密返回資料、解密傳入資料並對映成json 2 使用  這裡的使用就比較簡單了。 (1)將工具匯入專案中。 (

java引數傳遞與堆疊-隨筆一

之前看到一個問題:java的引數傳遞到底是值傳遞還是引用傳遞呢? 首先,我們來看看java的堆(heap)和棧(stack)吧! 堆是jvm虛擬機器所管理的記憶體中最大的一塊,主要用來儲存new的物件例項或陣列(當然會有一些別的東西,比如類變數)。java堆是被所有執行緒所共享的一塊記憶體,在java虛擬

九、java基礎引數傳遞(值傳遞

一、值傳遞/*程式在執行過程中,引數傳遞問題: 1.傳遞資料是基本資料型別 2.傳遞資料是引用資料型別 */1.以下程式是傳遞基本資料型別 public class ClassTest04 { public static void m1(int i){ i++;

java基礎----基本資料型別和引用資料型別的引數傳遞過程(一)

值傳遞:方法呼叫時,實際引數把它的值傳遞給對應的形式引數,方法執行中形式引數值的改變不影響實際引數的值。 引用傳遞:也稱為傳地址。方法呼叫時,實際引數的引用(地址,而不是引數的值)被傳遞給方法中相對應的形式引數,在方法執行中,對形式引數的操作實際上就是對實際引

Python GUI程式設計訊息傳遞機制&使用者登入

PythonGUI程式設計之-訊息傳遞機制及簡單的使用者登入 訊息機制 1.訊息的傳遞機制 自動發出事件/訊息 訊息由系統負責傳送到佇列 有相關元件進行繫結/設定 後端自動選擇感興趣的事件並作出相應的

【Kettle從零開始】第八彈Kettle變數引數傳遞介紹

對於ETL引數傳遞是一個很重要的環節,因為引數的傳遞會涉及到業務資料是如何抽取。下面我為大家舉例一個簡單的需求。 需求說明:需要抽取昨天的資料裝載到目標表中。   1、  引數作用域? 答:Kettle中引數大致可分為兩類

Java中方法引數傳遞機制

值傳遞是對基本型變數而言的,傳遞的是該變數的一個副本,改變副本不影響原變數. 引用傳遞一般是對於物件型變數而言的,傳遞的是該物件地址的一個副本, 並不是原物件本身 。 一般認為,java內的基礎型別資料傳遞都是值傳遞. java中例項物件的傳遞是引用傳遞 值傳遞的時候,