安全矩阵

 找回密码
 立即注册
搜索
查看: 2247|回复: 0

什么是JWT?

[复制链接]

855

主题

862

帖子

2940

积分

金牌会员

Rank: 6Rank: 6

积分
2940
发表于 2021-9-24 17:27:32 | 显示全部楼层 |阅读模式
原文链接:什么是JWT?
什么是JWT?
JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为 JSON 对象在各方之间安全地传输信息。
说了一长串,不知道说的啥。。。。其实JWT就是用一种结构化封装的方式来生成token的技术。
JWT 这种结构化体可以分为 HEADER(头部)、PAYLOAD(数据体)和 SIGNATURE(签名)三部分。经过签名之后的 JWT 的整体结构,是被句点符号分割的三段内容,结构为 header.payload.signature 。比如下面这个示例:


eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

我们拿着这个jwtToken去https://jwt.io/可以看到解密后的结果
HEADER:

  1. {
  2.   "alg": "HS256",
  3.   "typ": "JWT"
  4. }
复制代码

PAYLOAD:
    1. {
    2.   "sub": "1234567890",
    3.   "name": "John Doe",
    4.   "iat": 1516239022
    5. }
    复制代码


    HEADER:表示装载令牌类型和算法等信息,是 JWT 的头部。其中,typ 表示第二部分 PAYLOAD 是 JWT 类型,alg 表示使用 HS256 对称签名的算法。
  • PAYLOAD:数据体主要是我们的结构化数据,这组数据基本上都是我们自定义的信息。但是有几个关键点大家需要注意一下:exp(令牌的过期时间戳)、iat(令牌颁发的时间戳)
  • SIGNATURE:表示对 JWT 信息的签名。其实就是对HEADER与PAYLOAD进行一次加密处理,主要是验证整个JWT内容有没有被篡改。

JWT的优点其实JWT最大的优点就是为了设计无状态的服务。
我们经常可以听到Http协议是无状态的,而session是有状态的,但是到底什么是有状态,什么是无状态呢?这里我给大家简单的科普一下:
所谓“状态”,就是为了保留程序的一些数据或是上下文。
所以,大家可以知道,我们的软件本身,肯定是有状态的!(感觉是废话,如果软件不保留程序的数据,或者没有上下文,那这个软件有个毛用!)
但是我们各种架构设计,程序设计,都在强调设计无状态的服务,这怎么做呢?其实说白了,就是让我们写的程序,尽可能的“无状态”,而把“有状态”放到Redis,MySQL或者其他的分布式文件系统中。那么我们的服务就能可以随意地增加和减少节点,同样可以随意地搬迁。而且,无状态的服务可以大幅度降低代码的复杂度以及 Bug 数,因为没有状态,所以也没有明显的“副作用”。对开发和运维来说,无状态服务比有状态的服务方便的多。
所以,我们用JWT作为Token,主要是通过“自编码”的方式包含了身份验证需要的信息,不再需要服务端进行额外的存储,所以每次的请求都是无状态会话。这就符合了我们尽可能遵循无状态架构设计的原则,也就是增强了系统的可用性和伸缩性。
JWT的缺点其实JWT的缺点,就是它的优点。
因为Token如果用“自编码”的方式,不去存储,那么就有一个很大的问题:覆水难收。
  • 用户登出后,JWTToken依然有效
  • 用户改密码后,旧的JWTToken依然有效
  • 用户被管理员踢出后,旧的JWTToken依然有效
  • JWTToken没办法“续约”,只能用申请新的Token

如何解决JWT的缺点想要解决JWT的缺点,只能把部分信息存储在客户端,这是个无解的问题,想要彻底的做成“自编码”而且又解决缺点,这是不可能的。
  • 以JWTToken为key,过期时间为value,在Redis等缓存中维护JWTToken的有效性
    其实这个方法也是可以的,但是不太友好。因为JWT的意义就是是把全部的信息放到JWT的PAYLOAD里面,如果用JWTToken为key,部分信息为value放到Redis中,其实是违背了JWT的设计初衷。而且JWTToken非常长,也不适合做缓存的key。

  • 以用户ID为key,用户密码为value,或者为每个用户生成一个秘钥为value,放到Redis等缓存中
    JWT的SIGNATURE部分,我们可以设置一个“秘钥”,哪怕HEADER与PAYLOAD相同,而秘钥不同,最终生成的SIGNATURE也是不同的。所以,我们可以为每个用户生成一个专属的秘钥,放在Redis等缓存中,当用户改了密码,或者被管理员踢出后,我们可以换掉用户的秘钥。那么下次用户请求服务器时,我们对JWTToken进行校验的时候,秘钥改了,生成的SIGNATURE肯定不同,这样就可以“收回”已经无效的JWTToken了。

使用JWT需要注意的点使用JWT作为Token,一定要注意里面的信息是否能给到第三方。如果不得不包含一些不能给到第三方的信息,那么JWTToken必须要加密。
因为JWT本身是包含了结构化信息的,这里面有用户的信息。如果不加密的话,不管是第三方、或者是用户通过浏览器,都能够知道JWT里面隐藏的信息。特别是用于OAuth2协议时,如果直接把JWT作为访问令牌,那么第三方就能知道JWT里面的信息,而且这里面的信息可能第三方根本就没有获取到权限。


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 19:39 , Processed in 0.018919 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表