JWT是一種用于雙方之間傳遞安全信息的簡潔的、URL安全的表述性聲明規(guī)范。JWT作為一個開放的標準(RFC 7519),定義了一種簡潔的,自包含的方法用于通信雙方之間以Json對象的形式安全的傳遞信息。因為數(shù)字簽名的存在,這些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘鑰對進行簽名。簡潔(Compact): 可以通過URL,POST參數(shù)或者在HTTP header發(fā)送,因為數(shù)據(jù)量小,傳輸速度也很快
自包含(Self-contained):負載中包含了所有用戶所需要的信息,避免了多次查詢數(shù)據(jù)庫
JWT的主要應(yīng)用場景
身份認證在這種場景下,一旦用戶完成了登陸,在接下來的每個請求中包含JWT,可以用來驗證用戶身份以及對路由,服務(wù)和資源的訪問權(quán)限進行驗證。由于它的開銷非常小,可以輕松的在不同域名的系統(tǒng)中傳遞,所有目前在單點登錄(SSO)中比較廣泛的使用了該技術(shù)。
信息交換在通信的雙方之間使用JWT對數(shù)據(jù)進行編碼是一種非常安全的方式,由于它的信息是經(jīng)過簽名的,可以確保發(fā)送者發(fā)送的信息是沒有經(jīng)過偽造的。
JWT的結(jié)構(gòu)
JWT包含了使用.分隔的三部分:
Header 頭部
Payload 負載
Signature 簽名
其結(jié)構(gòu)看起來是這樣的Header.Payload.Signature
Header
在header中通常包含了兩部分:token類型和采用的加密算法。{ "alg": "HS256", "typ": "JWT"}
接下來對這部分內(nèi)容使用 Base64Url 編碼組成了JWT結(jié)構(gòu)的第一部分。
Payload
Token的第二部分是負載,它包含了claim, Claim是一些實體(通常指的用戶)的狀態(tài)和額外的元數(shù)據(jù),有三種類型的claim:reserved, public 和 private.Reserved claims: 這些claim是JWT預(yù)先定義的,在JWT中并不會強制使用它們,而是推薦使用,常用的有 iss(簽發(fā)者),exp(過期時間戳), sub(面向的用戶), aud(接收方), iat(簽發(fā)時間)。
Public claims:根據(jù)需要定義自己的字段,注意應(yīng)該避免沖突
Private claims:這些是自定義的字段,可以用來在雙方之間交換信息
負載使用的例子:{ "sub": "1234567890", "name": "John Doe", "admin": true}
上述的負載需要經(jīng)過Base64Url編碼后作為JWT結(jié)構(gòu)的第二部分。
Signature
創(chuàng)建簽名需要使用編碼后的header和payload以及一個秘鑰,使用header中指定簽名算法進行簽名。例如如果希望使用HMAC SHA256算法,那么簽名應(yīng)該使用下列方式創(chuàng)建:
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
簽名用于驗證消息的發(fā)送者以及消息是沒有經(jīng)過篡改的。
完整的JWT
完整的JWT格式的輸出是以.
分隔的三段Base64編碼,與SAML等基于XML的標準相比,JWT在HTTP和HTML環(huán)境中更容易傳遞。
下列的JWT展示了一個完整的JWT格式,它拼接了之前的Header, Payload以及秘鑰簽名:
如何使用JWT?
在身份鑒定的實現(xiàn)中,傳統(tǒng)方法是在服務(wù)端存儲一個session,給客戶端返回一個cookie,而使用JWT之后,當(dāng)用戶使用它的認證信息登陸系統(tǒng)之后,會返回給用戶一個JWT,用戶只需要本地保存該token(通常使用local storage,也可以使用cookie)即可。
當(dāng)用戶希望訪問一個受保護的路由或者資源的時候,通常應(yīng)該在Authorization頭部使用Bearer模式添加JWT,其內(nèi)容看起來是下面這樣:Authorization: Bearer <token>
因為用戶的狀態(tài)在服務(wù)端的內(nèi)存中是不存儲的,所以這是一種無狀態(tài)的認證機制。服務(wù)端的保護路由將會檢查請求頭Authorization中的JWT信息,如果合法,則允許用戶的行為。由于JWT是自包含的,因此減少了需要查詢數(shù)據(jù)庫的需要。
JWT的這些特性使得我們可以完全依賴其無狀態(tài)的特性提供數(shù)據(jù)API服務(wù),甚至是創(chuàng)建一個下載流服務(wù)。因為JWT并不使用Cookie的,所以你可以使用任何域名提供你的API服務(wù)而不需要擔(dān)心跨域資源共享問題(CORS)。
下面的序列圖展示了該過程:
為什么要使用JWT?
相比XML格式,JSON更加簡潔,編碼之后更小,這使得JWT比SAML更加簡潔,更加適合在HTML和HTTP環(huán)境中傳遞。
在安全性方面,SWT只能夠使用HMAC算法和共享的對稱秘鑰進行簽名,而JWT和SAML token則可以使用X.509認證的公私秘鑰對進行簽名。與簡單的JSON相比,XML和XML數(shù)字簽名會引入復(fù)雜的安全漏洞。
因為JSON可以直接映射為對象,在大多數(shù)編程語言中都提供了JSON解析器,而XML則沒有這么自然的文檔-對象映射關(guān)系,這就使得使用JWT比SAML更方便
java json web token工具類
public class JwtHelper {
private final static String base64Secret = "MDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0ZjY=";
private final static int expiresSecond = 172800000;
public static Claims parseJWT(String jsonWebToken) {
try {
Claims claims = Jwts.parser()
.setSigningKey(DatatypeConverter.parseBase64Binary(base64Secret))
.parseClaimsJws(jsonWebToken).getBody();
return claims;
} catch (Exception ex) {
return null;
}
}
public static String createJWT(String username, String roles, String privileges) {
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
//生成簽名密鑰
byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(base64Secret);
Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
//添加構(gòu)成JWT的參數(shù)
JwtBuilder builder = Jwts.builder().setHeaderParam("typ", "JWT")
.claim("user_name", username)
.claim("user_role", roles)
.claim("user_privilege", privileges)
.signWith(signatureAlgorithm, signingKey);
//添加Token過期時間
if (expiresSecond >= 0) {
long expMillis = nowMillis + expiresSecond;
Date exp = new Date(expMillis);
builder.setExpiration(exp).setNotBefore(now);
}
//生成JWT
return builder.compact();
}
}
