JWT(JSON WEB TOKEN)是基於RFC 7519標准定義的一種可以安全傳輸的小巧和自包含的JSON對象。由於數據是使用數字簽名的,所以是可信任的和安全的。JWT可以使用HMAC算法對secret進行加密或者使用RSA的公鑰私鑰對來進行簽名。
JWT通常由頭部(Header),負載(Payload),簽名(Signature)三個部分組成,中間以.號分隔,其格式為Header.Payload.Signature
Header:聲明令牌的類型和使用的算法
-
alg:簽名的算法
-
typ:token的類型,比如JWT
Header eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 Payload eyJpc3MiOiJnZXJyeV91c2VyIiwibmFtZSI6IueJp-eggeS6uuaVmeiCs
iIsImV4cCI6MTU5MDU4NTc1OCwidHlwZSI6IjIiLCJlbWFpbCI6IjI3MTMxNDk5OEB
xcS5jb20iLCJtYXJrIjoiZ2VycnkiLCJ0cyI6IjE1OTA0OTkzNTgifQ Signature ZQba2qY0Q9AzdnmV850Xr1QdOFexLxRrb5qa66mOvZo
Payload:也稱為JWT Claims,包含用戶的一些信息
系統保留的聲明(Reserved claims):
-
iss (issuer):簽發人
-
exp (expiration time):過期時間
-
sub (subject):主題
-
aud (audience):受眾用戶
-
nbf (Not Before):在此之前不可用
-
iat (Issued At):簽發時間
-
jti (JWT ID):JWT唯一標識,能用於防止JWT重復使用
公共的聲明(public):見 http://www.iana.org/assignments/jwt/jwt.xhtml
ImmutableMap.of("name", returnUser.getName(), "email", returnUser.getEmail(), "type",returnUser.getType()+"","ts", Instant.now().getEpochSecond() + "", "mark", "gerry")
Signature:簽名
簽名格式: HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
-
JWT默認是不加密的,不能把用戶敏感類信息放在Payload部分。
-
JWT 不僅可以用於認證,也可以用於交換信息。
-
JWT的最大缺點是服務器不保存會話狀態,所以在使用期間不可能取消令牌或更改令牌的權限。
-
JWT本身包含認證信息,為了減少盜用,JWT的有效期不宜設置太長。
-
為了減少盜用和竊取,JWT不建議使用HTTP協議來傳輸代碼,而是使用加密的HTTPS協議進行傳輸。
-
首次生成token比較慢,比較耗CPU,在高並發的情況下需要考慮CPU占用問題。
-
生成的token比較長,可能需要考慮流量問題。
-
oauth2
認證原理:
-
客戶端向服務器申請授權,服務器認證以后,生成一個token字符串並返回給客戶端,此后客戶端在請求受保護的資源時攜帶這個token,服務端進行驗證再從這個token中解析出用戶的身份信息。
JWT的使用方式:一種做法是放在HTTP請求的頭信息Authorization字段里面,格式如下:
Authorization: <token>
另一種做法是,跨域的時候,JWT就放在POST請求的數據體里面。
1、額外生成一個refreshToken用於獲取新token,refreshToken需存儲於服務端,其過期時間比JWT的過期時間要稍長。
2、用戶攜帶refreshToken參數請求token刷新接口,服務端在判斷refreshToken未過期后,取出關聯的用戶信息和當前token。
3、使用當前用戶信息重新生成token,並將舊的token置於黑名單中,返回新的token。