什么是 JWT(JSON web TOKEN)
转自于: http://www.jianshu.com/p/576dbf44b2ae
什么是 JWT
Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于 JSON 的开发标准 (RFC 7519), 该 token 被设计为紧凑且安全的, 特别适用于分布式站点的单点登陆(SSO) 场景. JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息, 以便于从资源服务器获取资源, 也可以增加一些额外的其它业务逻辑所必须的声明信息, 该 token 也可直接被用于认证, 也可被加密.
起源
说起 JWT, 我们应该来谈一谈基于 token 的认证和传统的 Session 认证的区别.
传统的 session 认证
我们知道, http 协议本身是一种无状态的协议, 而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证, 那么下一次请求时, 用户还要再一次进行用户认证才行, 因为根据 http 协议, 我们并不能知道是哪个用户发送的请求, 所以为了让我们的应用能识别是哪个用户发出的, 我们只能在服务器存储一份用户登陆的信息, 这份登陆信息会在响应时传递给服务器, 告诉其保存为 cookie, 以便下次请求时发送给我们的应用, 这样我们的英哟个就能识别请求来自哪个用户了, 这就是传统的基于 sessino 认证
但是这种基于 session 的认证使应用本身很难得扩展, 随着不用客户端的增加, 独立的服务器已无法承载更多的用户, 而这个时候基于 session 认证应用的问题就会暴露出来
基于 session 认证所显露的问题
Session: 每个用户经过我们的应用认证之后, 我们的应用都要在服务端做一次记录, 以便用户下次请求的鉴别, 通常而言 session 都是保存在内存中, 而随着认证用户的增多, 服务端的开销会明显增大
扩展性: 用户认证之后, 服务端做认证记录, 如果认证的记录被保存在内存的话, 这意味着用户下次请求还必须要请求在这台服务器上, 这样才能拿到授权的资源, 这样在分布式的应用上, 响应的限制了负载均衡器的能力, 也意味着限制了应用的扩展性
CSRF: 因为是基于 cookie 来进行用户识别的, cookie 如果被截获, 用户就会很容易受到跨站请求伪造的攻击.
基于 token 的鉴权机制
基于 token 的鉴权机制类似于 http 协议也是无状态的, 它不需要在服务端去保留用户的认证信息或会话信息. 这也就意味着机遇 tokent 认证机制的应用不需要去考虑用户在哪一台服务器登陆了, 这就为应用的扩展提供了便利
流程是这样的
用户使用用户名密码请求服务器
服务器进行验证用户信息
服务器通过验证发送给用户一个 token
客户端存储 token, 并在每次请求时附加这个 token 值
服务器验证 token, 并返回数据
这个 token 必须要在每次请求时发送给服务器, 它应该保存在请求头中, 另外, 服务器要支持 CORS(跨来源资源共享)策略, 一般我们在服务端这么做就可以了 Access-Control-Allow-Origin:*
JWT 的构成
JWT 是由三部分构成, 将这三段信息文本用链接构成了 JWT 字符串. 就像这样
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJVc2VySWQiOjEyMywiVXNlck5hbWUiOiJhZG1pbiJ9.Qjw1epD5P6p4Yy2yju3-fkq28PddznqRj3ESfALQy_U
第一部分我们称它为头部 (header) 第二部分我们称其为载荷(payload, 类似于飞机上承载的物品), 第三部分是签证(signature)
- {
- 'typ':'JWT',
- 'alg':'HS256'
- }
- eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
- plyload
- {
- "sub": "1234567890",
- "name": "John Doe",
- "admin": true
- }
- header(base64 后的)
- payload(base64 后的)
- secred
- var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);
- var signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
- fetch('api/user/1', {
- headers: {
- 'Authorization': 'Bearer' + token
- }
- })
来源: http://www.qdfuns.com/article/45387/fb277636ee79bc01320d75abb6deb16d.html