JWT refreshtoken 實踐

Json web token (JWT), 根據官網的定義，是爲了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標準（(RFC 7519).該token被設計爲緊湊且安全的，特別適用於分佈式站點的單點登錄（SSO）場景。JWT的聲明一般被用來在身份提供者和服務提供者間傳遞被認證的用戶身份信息，以便於從資源服務器獲取資源，也可以增加一些額外的其它業務邏輯所必須的聲明信息，該token也可直接被用於認證，也可被加密。
詳細介紹可以查看這篇文章 理解JWT（JSON Web Token）認證及實踐

JWT 特點

優點

• 體積小，因而傳輸速度快
• 傳輸方式多樣，可以通過URL/POST參數/HTTP頭部等方式傳輸
• 嚴格的結構化。它自身（在 payload 中）就包含了所有與用戶相關的驗證消息，如用戶可訪問路由、訪問有效期等信息，服務器無需再去連接數據庫驗證信息的有效性，並且 payload 支持爲你的應用而定製化。
• 支持跨域驗證，可以應用於單點登錄。

存在的問題

JWT 自身（在 payload 中）就包含了所有與用戶相關的驗證消息，所以通常情況下不需要保存。這種設計存在幾個問題：

1. Token不能撤銷--客戶端重置密碼後之前的JWT依然可以使用（JWT 並沒有過期或者失效
2. 不支持refresh token，JWT過期後需要執行登錄授權的完整流程
3. 無法知道用戶簽發了幾個JWT

針對第一個問題，可能的解決方法有：

1. 保存JWT到數據庫（或Redis），這樣可以針對每個JWT單獨校驗
2. 在重置密碼等需要作廢之前全部JWT時，把操作時間點記錄到數據庫（或Redis），校驗JWT時同時判斷此JWT創建之後有沒有過重置密碼等類似操作，如果有校驗不通過

當然，這種解決方法都會多一次數據庫請求，JWT自身可校驗的優勢會有所減少，同時也會影響認證效率。

這篇文章主要介紹解決第二個問題（不支持refresh token）的思路。

refresh token

refresh token是OAuth2 認證中的一個概念，和OAuth2 的access token 一起生成，表示更新令牌，過期所需時間比access toen 要長，可以用來獲取下一次的access token。

如果JWT 需要添加 refresh token支持，refresh token需要滿足的條件有一下幾項：

1. 和JWT一起生成返回給客戶端
2. 有實效時間，有效時間比JWT要長
3. 只能用來換取下一次JWT，不能用於訪問認證
4. 不能重複使用（可選）

refresh token 獲取流程

refresh token 使用流程

代碼示例

import jwt
import time

# 使用 sanic 作爲restful api 框架 
def create_token(account_id, username):
    payload = {
        "iss": "gusibi.mobi",
        "iat": int(time.time()),
        "exp": int(time.time()) + 86400 * 7,
        "aud": "www.gusibi.mobi",
        "sub": account_id,
        "username": username,
        "scopes": ['open']
    }
    token = jwt.encode(payload, 'secret', algorithm='HS256')
    payload['grant_type'] = "refresh"
    refresh_token = jwt.encode(payload, 'secret', algorithm='HS256')
    return True, {
        'access_token': token,
        'account_id': account_id,
        "refresh_token": refresh_token
        }

# 驗證refresh token 出否有效
def verify_refresh_token(token):
    payload = jwt.decode(token, 'secret', audience='www.gusibi.com', algorithms=['HS256'])
    # 校驗token 是否有效，以及是否是refresh token，驗證通過後生成新的token 以及 refresh_token
    if payload and payload.get('grant_type') == 'refresh':
        # 如果需要標記此token 已經使用，需要藉助redis 或者數據庫（推薦redis）
        return True, payload
    return False, None

# 驗證token 是否有效
def verify_bearer_token(token):
    #  如果在生成token的時候使用了aud參數，那麼校驗的時候也需要添加此參數
    payload = jwt.decode(token, 'secret', audience='www.gusibi.com', algorithms=['HS256'])
    # 校驗token 是否有效，以及不能是refresh token
    if payload and not payload.get('grant_type') == 'refresh':
        return True, payload
    return False, None

參考鏈接

• 理解JWT（JSON Web Token）認證及實踐
• 理解OAuth 2.0[1]

References
[1] 理解OAuth 2.0: http://www.ruanyifeng.com/blo...

---

最後，感謝女朋友支持和包容，比❤️

也可以在公號輸入以下關鍵字獲取歷史文章：公號&小程序 | 設計模式 | 併發&協程