一、前言
這篇文章中我們來了解一下JWT是何方神圣?以及JWT來實現(xiàn)分布式Session。
二、JWT是什么
JWT一看就是簡稱,它的全稱JSON Web Token,從字面上我們看出
1、數(shù)據(jù)是JSON格式
2、用于Web應(yīng)用
3、是一個Token,也就是一個令牌方式
看看官方的說明,它定義了一種緊湊且自包含的方式,用于在各方之間以JSON對象進(jìn)行安全傳輸信息。這些信息可以通過對稱/非對稱方式進(jìn)行簽名,防止信息被串改。
緊湊的含義:就是JWT比較小,數(shù)據(jù)量不大,可以通過URL、POST參數(shù)或Header請求頭方式進(jìn)行傳輸。
自包含的含義:jwt可以讓用戶自定義JWT里面包含的用戶信息,如:姓名、昵稱等(不要放隱密的信息)。從而避免了多次查詢數(shù)據(jù)庫。
三、JWT數(shù)據(jù)結(jié)構(gòu)
- JWT由三個部分組成
1、Header
2、Payload
3、Signature
- 三者組合在一起
Header.Payload.Signature
- 案例
看上去是不是滿亂,我們來依次看下里面的結(jié)構(gòu)。
四、Header
這個是JWT第一段數(shù)據(jù),表示頭部信息,主要的作用是描述JWT的元數(shù)據(jù),上面的案例就是:
{ alg: "HS256", typ: "JWT"}
1、alg屬性表示簽名的算法,默認(rèn)算法為HS256,可以自行別的算法。
2、typ屬性表示這個令牌的類型,JWT令牌就為JWT。
上面的JSON數(shù)據(jù)會通過Base64算法進(jìn)行編碼而成,看工具圖
五、Payload
此為JWT第二段數(shù)據(jù),用來存放實際需要傳遞的數(shù)據(jù)。JWT官方也規(guī)定了7個字段供選用
當(dāng)然除了官方字段,我們可以自定義字段,以上面的案例,我們看下實際的數(shù)據(jù)
注意:這段也是用Base64算法,JWT默認(rèn)是不加密的,任何人都可以獲取,只要進(jìn)行Base64解碼就行了,所以不要把隱密的信息放到JWT中
六、Signature
此為JWT第三段數(shù)據(jù),主要作用是對前面兩段的數(shù)據(jù)進(jìn)行簽名,防止數(shù)據(jù)篡改。一般我們進(jìn)行簽名的時候會有個密鑰(secret),只有服務(wù)器知道,然后利用Header中的簽名算法進(jìn)行簽名,公式如下:
HmacSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
算出簽名后,把Header、Payload、Signature三個部分拼成一個字符串,之間用(.)分隔,這樣就可以把組合而成的字符串返回給用戶了。
七、JWT的工作方式
在用戶進(jìn)行認(rèn)證登錄時,登錄成功后服務(wù)器會返回一個JWT給客戶端;那這個JWT就是用戶的憑證,以后到哪里去都要帶上這個憑證token。尤其訪問受保護(hù)的資源的時候,通常把JWT放在Authorization header中。要用 Bearer schema,如header請求頭中:
Authorization: Bearer <token>
八、基于JWT的身份認(rèn)證
上面的JWT的工作方式,其實就是一個完整的身份認(rèn)證流程,我們這里把這個講的在通俗一點。
1、用戶提供用戶名和密碼登錄
2、服務(wù)器校驗用戶是否正確,如正確,就返回token給客戶端,此token可以包含用戶信息
3、客戶端存儲token,可以保存在cookie或者local storage
4、客戶端以后請求時,都要帶上這個token,一般放在請求頭中
5、服務(wù)器判斷是否存在token,并且解碼后就可以知道是哪個用戶
6、服務(wù)器這樣就可以返回該用戶的相關(guān)信息了
這個流程小伙伴們有沒有發(fā)現(xiàn),用戶信息是放在JWT中的,是存放在客戶端(cookie,local storage)中的,服務(wù)器只需解碼驗證就行了,就可以知道獲取到用戶信息。而我們之前的Session方式就不一樣。
九、與Session-Cookie方式的區(qū)別
Session-Cookie方式的這里就不多作介紹了,之前文章已經(jīng)介紹了。直接上圖說明區(qū)別
上圖是Sesson服務(wù)器方式,我們發(fā)現(xiàn)Session用戶信息是在服務(wù)器端存儲的。
我們再來看看JWT方式
上面的token即用戶信息是存儲在客戶端的,服務(wù)器端只要解碼即可。
十、JWT方式認(rèn)證的好處
1、因為token存儲在客戶端,服務(wù)器只負(fù)責(zé)解碼。這樣不需要占用服務(wù)器端資源。
2、服務(wù)器端可以無限擴(kuò)展,負(fù)載均衡器可以將用戶傳遞到任何服務(wù)器,服務(wù)器都能知道用戶信息,因為jwt里面包含了。
3、數(shù)據(jù)安全,因為有簽名,防止了篡改,但信息還是透明的,不要放敏感信息。
4、放入請求頭提交,很好的防止了csrf攻擊,
說了這么多的好處,那是不是JWT就非常適合替換掉Session方式呢?
十一、JWT方式的壞處
1、token失效問題
JWT方式最大的壞處就是無法主動讓token失效,小伙伴們會說token不是有過期時間嗎?是的,token本身是有過期時間,但token一旦發(fā)出,服務(wù)器就無法收回。
如:一個jwt的token的失效時間是3天,但我們發(fā)現(xiàn)這個token有異常,有可能被人登錄,那真實的用戶可以修改密碼。但是即使修改了密碼,那個異常的token還是合法的,因為3天的失效時間未到,我們服務(wù)器是沒法主動讓異常token失效。
2、數(shù)據(jù)延時,不一致問題
還有個問題就是因為jwt中包含了用戶的部分信息,如果這些部分信息修改了,服務(wù)器獲取的還是以前的jwt中的用戶信息,導(dǎo)致數(shù)據(jù)不一致。
十二、總結(jié)
小伙伴們怎么去選擇Session的方式,是用傳統(tǒng)的Sesion-Cookie服務(wù)器方式,還是用JWT方式,具體集合業(yè)務(wù)看。不過老顧這里推薦還是用傳統(tǒng)的方式,因為以后的業(yè)務(wù)很有可能會用到用戶Session。好了,謝謝!!!
