• JSON Web Token

    一: 跨域认证问题

      流程:

        1 用户向服务器发送用户名和密码

        2 服务器验证通过后,在当前对话(session)里面报错相关数据,

        3 服务器向用户返回一个session_id,写入用户的Cookie

        4 用户随后的每一次请求,都会通过Cookie,将session_id传回服务器

        5 服务器收到session_id,找到前期保存的数据,由此得知用户的身份

      这种模式的扩展性不好,单机没有问题,服务器

    集群,或者使跨域的服务导向架构,就要求session数据共享,每台服务器都能够读取到sesssion

      列如:A网站和B网站都是一家公司的,现在要求,用户只能在其中一个网站登录,在访问另一个网站就会自动登录,请问怎么实现的

      一种解决方案是session数据持久化,写入数据库或别的持久层,各种服务收到请求后,都会向持久层请求数据,这种方案的优点是架构清晰,缺点是工程量比较大,另外,持久层万一挂了,就会单点失败

      另一种方案就是服务器不保存session数据了,所有数据保存在客户端,每次请求都发回服务器,JWT就是这一种方案的一个代表

     

    二: JWT的原理

      服务器认证以后,生成一个JSON对象,发回给用户,以后,用户与服务器通信的时候,都要发回这个JSON对象,服务器完全只靠这个对象认定用户身份,为了防止用户篡改数据,服务器在生成这个对象时候会加上签名

      服务器就不保存任何session数据了,也就是服务器变成无状态,从而比较容易实现拓展

    三:JWT的数据结构

      JWT的三个部分:

        Header(头部)

          Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。 

    {
  "alg": "HS256",
  "typ": "JWT"
}

          上面代码中,alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成 HS256);typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT.

          对它进行Base64编码后形成的字符串就成了JWT的header(头部)。

        Payload(负载)

          Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段,供选用

    iss (issuer):签发人
exp (expiration time):过期时间
sub (subject):主题
aud (audience):受众
nbf (Not Before):生效时间
iat (Issued At):签发时间
jti (JWT ID):编号

          

    {

"iss": "Kathy Yang JWT",

"iat": 1455624102,

"exp": 1475632522,

"aud": "www.example.com",

"sub": " jrocket@examp

"Givename": "Smark",

"Surname": "Kathy"

}

          注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分

          将上面的JSON 对象进行Base64 编码可以得到一串字符串。这个字符串我们将它称作 JWT的Payload(载荷)。

        Signature(签名) 

          Signature 部分是对前两部分的签名,防止数据篡改。 首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名

    HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

          算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。

    四:JWT的使用方法

      客户端收到服务器返回的 JWT,可以储存在 Cookie 里面,也可以储存在 localStorage。 此后,客户端每次与服务器通信,都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP 请求的头信息Authorization字段里面。

      另一种做法是,跨域的时候,JWT 就放在 POST 请求的数据体里面。

    五:JWT的特点

      (1)JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次。

      (2)JWT 不加密的情况下,不能将秘密数据写入 JWT。

      (3)JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。

      (4)JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。

      (5)JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。

      (6)为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。

      

      

      

      
  • 相关阅读:
    iOS-Foundation框架—结构体(转载)
    Spring-boot-admin功能说明
    http状态响应码对照表
    spring cloud config 详解
    bat 常用命令
    kafka 安装
    Zookeeper 安装和配置
    使用事件和消息队列实现分布式事务(转)
    消息总线
    分布式配置中心高可用
  • 原文地址:https://www.cnblogs.com/cpxjl/p/9934791.html
Copyright © 2020-2023  润新知