JWT是什么?

JWT全稱Json Web Token, (英文發(fā)音參考單詞jot), 是一種新的基于Json的開放標(biāo)準(zhǔn)(RFC-7519). 與基于XML的SAML協(xié)議, JWT更為輕量.

一個(gè)典型的Token如下

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

JWT包含header, payload和signature三個(gè)部分, 每個(gè)部分最后都會(huì)以base64進(jìn)行編碼. 以"."進(jìn)行連接.

JWT支持多種加密方式, 如HS256(基于HMAC和SHA-256), RS256(RSA和SHA-256)等.

JWT正被快速的應(yīng)用在用戶認(rèn)證和信息交換等領(lǐng)域.

為什么要使用JWT?

1, JWT擁有良好的兼容性.

JWT可以很好的支持HTTP協(xié)議, 可以被用于HTTP Header, 可以作為Post請求參數(shù), 可以被用于URL. ?

JWT現(xiàn)在已經(jīng)有了.NET, Python, Node.js, Java, PHP, Ruby, Go, JavaScript, and Haskell實(shí)現(xiàn), 可以支持多種開發(fā)平臺(tái).

2, JWT具有很好的擴(kuò)展性.

JWT可以使用JWA(RFC-7518)規(guī)范定義的所有加密算法.

JWT的payload部分也叫JWT Claims, 除了內(nèi)置的Claim, 如iss(Issuer), ?exp(Expiration time), 開發(fā)人員可以根據(jù)需要進(jìn)行擴(kuò)展.

3, JWT具有更多性能優(yōu)勢.

除了大小以外, JWT本身包含了用戶相關(guān)的授權(quán)信息, 可以減少對數(shù)據(jù)庫的重復(fù)查詢.

4, 相對于OAuth等重量級的協(xié)議, 實(shí)現(xiàn)JWT速度更快, 同時(shí), JWT不需要基于cookie, 對移動(dòng)設(shè)備更加友好.

JWT有哪些不足?

1, JWT無法被收回/撤銷.

對此, JWT的生命周期(exp)通常會(huì)設(shè)置的比較小. 或者要借助類似黑名單系統(tǒng), 來限制非法JWT的使用. JWT的優(yōu)勢之一是減少對用戶認(rèn)證系統(tǒng)的單點(diǎn)依賴, 而方案二則某種程度上弱化了這一優(yōu)勢.

2, 方案一則容易倒置更頻繁的更新Token請求.

JWT的應(yīng)用場景?

1, 用戶認(rèn)證. 尤其在單點(diǎn)登錄SSO場景中, 有良好的支持.

2, 信息交換. JWT本身就是一個(gè)帶有簽名的消息, 可以有效防止信息被篡改.

JWT的生成

1, 指定加密算法(header)

{ "alg": "HS256", "typ": "JWT" }

2, 值得Claims(payload)

{ "sub": "1234567890", "name": "John Doe", "admin": true }

3, 生成簽名

HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

4, 組合, 最終通過登錄接口下發(fā)

5, 調(diào)用方

Authorization: Bearer xxx.bbb.ccc

或者通過到cookie.

6, 服務(wù)端驗(yàn)證

只需要使用相同的密鑰和header中指定的加密算法驗(yàn)證簽名的正確性即可.

總結(jié)

相對于OAuth2等復(fù)雜的認(rèn)證鑒權(quán)體系, JWT有著容易理解, 開發(fā)簡單, 輕量級等優(yōu)點(diǎn). 并且對于大多數(shù)基于token的認(rèn)證系統(tǒng)來說, 替換成本很低. 并且, JWT的生成/驗(yàn)證過程也非常獨(dú)立, 可以服務(wù)化, 使得JWT有著非常好的擴(kuò)展性(規(guī)模擴(kuò)展), 因此非常適合移動(dòng)互聯(lián)網(wǎng)這種高并發(fā)的場景.