全棧專案|小書架|伺服器開發-JWT 詳解
JWT
官方簡介:Introduction to JSON Web Tokens
文章基本是官網內容的翻譯,英文不錯的同學可點選上面的連結直接看英文文件。
什麼是 JWT
JWT
全稱是JSON Web Token(JWT)
是一個開放標準(RFC 7519)
,它定義了一種緊湊且自包含的方式,用於在各方之間作為JSON
物件安全地傳輸資訊。由於此資訊是經過數字簽名的,因此可以被驗證和信任。
可以使用金鑰(HMAC演算法
)或使用RSA
或ECDSA
的公用/專用金鑰對對JWT
進行簽名。
什麼時候使用 JWT 驗證
- 授權
(Authorization)
這是使用JWT
的最常見情況。一旦使用者登入,每個後續請求將包括JWT
JWT
的一項功能,因為它的開銷很小並且可以在不同的域中輕鬆使用。 - 資訊交換
(Information Exchange)
JWT
是在各方之間安全地傳輸資訊的好方法。因為可以對JWT
進行簽名(例如,使用公鑰/私鑰對),所以您可以確保發件人是他們所說的人。另外,由於簽名是使用Header
和payload
計算的,因此您還可以驗證內容是否未被篡改。
JWT 的結構格式
由三部分組成,這些部分由點.
分隔,分別是:
Header
Payload
Signature
因此,JWT
通常如下所示。
xxxxx.yyyyy.zzzzz
Header
通常由兩部分組成:
- 令牌的型別(即
JWT
) - 所使用的簽名演算法,例如:HMAC SHA256或RSA。
例如:
{
"alg": "HS256",
"typ": "JWT"
}
然後,將此JSON
通過Base64Url
編碼以形成JWT
的第一部分。
Payload
令牌的第二部分是有效負載
,其中包含宣告。宣告是有關實體(通常是使用者)和其他資料的宣告。共有三種類型的索賠: registered、public、private claims
Registered claims
這些是一組預定義的權利要求,不是強制性的,而是建議使用的,以提供一組有用的可互操作的權利要求。其中一些是:iss
exp
(到期時間),sub
(主題),aud
(受眾) 等。
Tip: 請注意,宣告名稱僅是三個字元,因為JWT
是緊湊的。Public claims
這些可以由使用JWT
的人員隨意定義。但是為避免衝突,應在IANA JSON Web
令牌登錄檔中定義它們,或將其定義為包含抗衝突名稱空間的URI
。Private claims
這些是自定義宣告,旨在在同意使用它們的各方之間共享資訊,既不是註冊宣告也不是公共宣告。
有效負載示例:
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
同樣需要Base64Url
編碼,以形成JWT
的第二部分。
Signature
簽名(Signature)
用於驗證訊息在整個過程中沒有更改,並且對於使用私鑰進行簽名的令牌,它還可以驗證JWT
的傳送者是它所說的真實身份。
例如,如果要使用HMAC SHA256
演算法,則將通過以下方式建立簽名:
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
將這三部分合並
輸出是三個由.
分隔的Base64-URL
字串,可以在HTML
和HTTP
環境中輕鬆傳遞這些字串,與基於XML
的標準(例如SAML
)相比,它更緊湊。
下圖顯示了一個JWT
,它已對先前的Header
和Payload
進行了編碼,並用一個Signature
。
可以在這個網頁 jwt.io Debugger 驗證和生成JWT
JWT 如何工作
在身份驗證中,當用戶使用其憑據成功登入時,將返回令牌。由於令牌是憑據,因此必須格外小心以防止安全問題。通常,令牌的有效時間不宜設定過長。
Tip: 由於缺乏安全性,您也不應該將敏感的會話資料儲存在瀏覽器儲存中。
每當使用者想要訪問受保護的路由或資源時,使用者代理通常應在Bearer
模式中使用授權頭髮送JWT
。Header
的內容應如下所示:
Authorization: Bearer <token>
在某些情況下,介面訪問並不需要身份授權。伺服器的受保護路由將在Authorization Header
中檢查JWT令牌
是否有效,如果存在且有效,則將允許使用者訪問受保護的資源。
如果JWT
包含必要的資料,則可以減少查詢資料庫中某些操作的需求。
如果令牌是在Authorization Header
中傳送的,則跨域資源共享 (CORS) 不會成為問題,因為它不使用cookie
。
下圖顯示瞭如何獲取JWT
並將其用於訪問API或資源
:
- 應用程式或客戶端向授權伺服器請求授權。生產
JWT令牌
。 - 授予授權後,授權伺服器會將訪問令牌返回給應用程式。
- 應用程式使用訪問令牌來訪問受保護的資源(例如API)。
- 伺服器檢查
JWT令牌
是否有效,返回對應結果給客戶端
下圖詳細的流程:
ps:請注意,使用簽名令牌,令牌或令牌中包含的所有資訊都會暴露給使用者或其他方,即使他們無法更改它。這意味著您不應將機密資訊放入令牌中。
為什麼需要 JWT
對比 Simple Web Tokens (SWT) 和Security Assertion Markup Language Tokens (SAML),看看使用JSON Web Tokens (JWT) 有什麼好處。
- 由於
JSON
不如XML
冗長,因此在編碼時JSON
的大小也較小,從而使JWT
比SAML
更緊湊。這使得JWT
是在HTML
和HTTP環境
中傳遞的不錯的選擇。 - 在安全方面,
SWT
只能使用HMAC演算法
進行對稱簽名。但是JWT
和SAML令牌
可以使用X.509證書形式
的公用/專用金鑰對進行簽名。與簽名JSON
的簡單性相比,使用XML Digital Signature
簽名XML
而不引入模糊的安全漏洞是非常困難的。 JSON
解析器在大多數程式語言中都很常見,因為它們直接對映到物件。相反,XML
沒有自然的文件到物件對映。與SAML
斷言相比,這使使用JWT
更加容易。- 關於用法,
JWT
是在Internet
規模上使用的。這強調了在多個平臺(尤其是移動平臺)上對JSON Web令牌
進行客戶端處理的簡便性。
如果您想了解有關JSON Web令牌的更多資訊,甚至開始使用它們在自己的應用程式中執行身份驗證,請瀏覽到 Auth0上的JSON Web令牌登入 頁面。
諮詢請加微信:輕撩即可。