JWT加密解密算法

  • Post author:
  • Post category:其他


JWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它将使用数字签名(密钥)记性加密解密。



什么时候使用JWT

  • Authorization (授权) : 这是JWT最常见的使用场景,一旦用户登录后,后面每个请求都将包含JWT,用户将被允许访问该令牌允许的路由、服务和资源。单点登录是JWT应用的一个场景,并且JWT可以轻松的跨域使用。
  • Information Exchange (信息交换) : 因为JWT可以被签名,例如,用公钥/私钥对,你可以确定发送人就是它们所说的那个人。另外,由于签名是使用头(Header)和有效负载(Payload)计算的,您还可以验证内容没有被篡改。



JWT的结构是什么

JSON Web Token由三部分组成,他们之间用(.)连接,这三部分分别是:

  • Header
  • Paylaod
  • Signature

    形如下面的字符串:

xxxxx.yyyyy.zzzzz



Header

Header通常由两部分组成,token的类型(“JWT”)和算法名称(比如:HMAC SHA256或者RSA等等)。

{
    'alg': "HS256",
    'typ': "JWT"
}

然后使用Base64对JSON编码就能得到JWT的第一部分。



Payload

JWT的第二部分是payload,它包含声明(claims)。声明是关于实体(通常是用户)和其他数据的声明。声明有三种类型: registered, public 和 private。

  • Registered claims : 这里有一组预定义的声明,它们不是强制的,但是推荐。比如:iss (issuer), exp (expiration time), sub (subject), aud (audience)等。
  • Public claims : 可以随意定义。
  • Private claims : 用于在同意使用它们的各方之间共享信息,并且不是注册的或公开的声明。 下面是一个例子:
{
    "sub": '1234567890',
    "name": 'john',
    "admin":true
}

Tips: 1. 不要在JWT的payload或header中放置敏感信息,除非它们是加密的

2. Base64与其说是加密,不如说是编码转换。标准的Base64只有64个字符,base64的初衷是将含有不可见字符串的(128-255)信息用可见字符串(0-127)表现出来。



Signature

为了得到签名部分,你必须有编码过的header、编码过的payload、一个秘钥,签名算法是header中指定的那个,然后对它们签名即可。

通常使用的签名算法有两大类:对称加密算法,非对称加密算法。其中对称加密算法即加密与解密所使用的密钥是同一个,常见的有(AES/DES),非对称加密是使用公钥加密,私钥解密,如RSA算法。

签名是用于验证消息在传递过程中有没有被更改,并且,对于使用私钥签名的token,它还可以验证JWT的发送方是否为它所称的发送方。

在这里插入图片描述



JWT如何工作

在认证的时候,当用户用他们的凭证成功的登录后,一个JWT将被返回。此后,该token就是用户凭证了,无论何时用户想要访问受保护的路由或者资源时,用户代理都应该带上JWT。



基于Token的身份认证是如何工作的

基于Token的身份认证是无状态的,服务器或者Session中不会存储任何用户信息。没有会话意味着应用程序可以根据需要扩展和添加更多的机器,而不必担心用户登录的位置。使用Token的身份认证流程如下图所示:

在这里插入图片描述

Tips:每一次请求都需要token -Token应该放在请求header中 -我们还需要将服务器设置为接受来自所有域的请求,用Access-Control-Allow-Origin: *



JWT与Oauth2.0的区别

Oauth2.0 是一种授权框架,JWT是一种认证协议,无论使用哪种方式都需要使用HTTPS来保证数据的安全性。

Oauth2.0 用在使用第三方账号登录的情况(比如使用weibo、qq),而JWT是用在前后端分离,需要简单的对后台API进行保护时使用。



版权声明:本文为qq_35531985原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。