JWT是一种无状态的认证机制,适用于分布式应用和移动端。用户登录后,后端生成包含用户信息的JWTToken,前端存储并附在HTTP请求头中。服务端验证JWTToken的有效性,无需保存会话信息,提高扩展性和安全性。JWT具备数据量小、跨语言、单点登录友好等特点,常用于微服务架构。
简介JWT
http协议无状态的,所以需要sessionId或token的鉴权机制,jwt的token认证机制不需要在服务端再保留用户的认证信息或会话信息。这就意味着基于jwt认证机制的应用程序不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利,jwt更适用于分布式应用
1、前端通过Web表单将自己的用户名和密码发送到后端的接口,这个过程一般是一个POST请求。建议的方式是通过SSL加密的传输(HTTPS),从而避免敏感信息被嗅探
2、后端核对用户名和密码成功后,将包含用户信息的数据作为JWT的Payload,将其与JWT Header分别进行Base64编码拼接后签名,形成一个JWT Token,形成的JWT Token就是一个如同lll.zzz.xxx的字符串
3、后端将JWT Token字符串作为登录成功的结果返回给前端。前端可以将返回的结果保存在浏览器中,退出登录时删除保存的JWT Token即可
4、前端在每次请求时将JWT Token放入HTTP请求头中的Authorization属性中(解决XSS和XSRF问题)
5、后端检查前端传过来的JWT Token,验证其有效性,比如检查签名是否正确、是否过期、token的接收方是否是自己等
6、验证通过后,后端解析出JWT Token中包含的用户信息,进行其他逻辑操作(一般是根据用户信息得到权限等),返回结果
JWT的优势
1、简洁:JWT Token数据量小,传输速度也很快
2、因为JWT Token是以JSON加密形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持
3、不需要在服务端保存会话信息,也就是说不依赖于cookie和session,所以没有了传统session认证的弊端,特别适用于分布式微服务
4、单点登录友好:使用Session进行身份认证的话,由于cookie无法跨域,难以实现单点登录。但是,使用token进行认证的话, token可以被保存在客户端的任意位置的内存中,不一定是cookie,所以不依赖cookie,不会存在这些问题
5、适合移动端应用:使用Session进行身份认证的话,需要保存一份信息在服务器端,而且这种方式会依赖到Cookie(需要Cookie 保存 SessionId),所以不适合移动端
jwt的组成部分
标准的jwt令牌分为三部分,分别是Header、payload、signature;在token字符串中使用.进行分割
Header的组成部分包括两点:参数类型jwt,签名的算法hs256
Payload的组成就是登陆用户的一些信息,和token发行和失效时间等;这些内容里面有一些是标
准字段,你也可以添加其它需要的内容
Signature是先用Base64编码的header和payload,再用加密算法加密一下,加密的时候要放进去
一个Secret,这个相当于是一个密码,这个密码秘密地存储在服务端JWT每部分的作用,在服务端接收到客户端发送过来的JWT token之后:
header和payload可以直接利用base64解码出原文,从header中获取哈希签名的算法,从
payload中获取有效数据。
signature由于使用了不可逆的加密算法,无法解码出原文,它的作用是校验token有没有被篡改。
服务端获取header中的加密算法之后,利用该算法加上secretKey对header、payload进行加密,
比对加密后的数据和客户端发送过来的是否一致。注意secretKey只能保存在服务端,而且对于不
同的加密算法其含义有所不同,一般对于MD5类型的摘要加密算法,secretKey实际上代表的是盐
值
JWT工作原理
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
