Zhong__JWT簡介及方案

時間：2020.04.17

環境：

目的：

說明：根據網絡文章和自己的理解寫的

作者：Zhong QQ交流羣：121160124 歡迎加入！

JWT

在用戶註冊或登錄後，我們想記錄用戶的登錄狀態，或者爲用戶創建身份認證的憑證。我們不再使用Session認證機制，而使用Json Web Token認證機制。

什麼是JWT

Json web token (JWT), 是爲了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標準（(RFC 7519).該token被設計爲緊湊且安全的，特別適用於分佈式站點的單點登錄（SSO）場景。JWT的聲明一般被用來在身份提供者和服務提供者間傳遞被認證的用戶身份信息，以便於從資源服務器獲取資源，也可以增加一些額外的其它業務邏輯所必須的聲明信息，該token也可直接被用於認證，也可被加密。

基於token的鑑權機制

基於token的鑑權機制類似於http協議也是無狀態的，它不需要在服務端去保留用戶的認證信息或者會話信息。這就意味着基於token認證機制的應用不需要去考慮用戶在哪一臺服務器登錄了，這就爲應用的擴展提供了便利。

流程上是這樣的：

• 用戶使用用戶名密碼來請求服務器
• 服務器進行驗證用戶的信息
• 服務器通過驗證發送給用戶一個token
• 客戶端存儲token，並在每次請求時附送上這個token值
• 服務端驗證token值，並返回數據

這個token必須要在每次請求時傳遞給服務端，它應該保存在請求頭裏， 另外，服務端要支持CORS(跨來源資源共享)策略，一般我們在服務端這麼做就可以了Access-Control-Allow-Origin: *。

JWT的構成

第一部分我們稱它爲頭部（header),第二部分我們稱其爲載荷（payload, 類似於飛機上承載的物品)，第三部分是簽證（signature).

header

jwt的頭部承載兩部分信息：

• 聲明類型，這裏是jwt
• 聲明加密的算法 通常直接使用 HMAC SHA256

完整的頭部就像下面這樣的JSON：

{ 'typ': 'JWT', 'alg': 'HS256' }

然後將頭部進行base64加密（該加密是可以對稱解密的),構成了第一部分.

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

playload

載荷就是存放有效信息的地方。這個名字像是特指飛機上承載的貨品，這些有效信息包含三個部分

• 標準中註冊的聲明
• 公共的聲明
• 私有的聲明

標準中註冊的聲明 (建議但不強制使用) ：

• iss: jwt簽發者
• sub: jwt所面向的用戶
• aud: 接收jwt的一方
• exp: jwt的過期時間，這個過期時間必須要大於簽發時間
• nbf: 定義在什麼時間之前，該jwt都是不可用的.
• iat: jwt的簽發時間
• jti: jwt的唯一身份標識，主要用來作爲一次性token,從而回避重放攻擊。

公共的聲明 ： 公共的聲明可以添加任何的信息，一般添加用戶的相關信息或其他業務需要的必要信息.但不建議添加敏感信息，因爲該部分在客戶端可解密.

私有的聲明 ： 私有聲明是提供者和消費者所共同定義的聲明，一般不建議存放敏感信息，因爲base64是對稱解密的，意味着該部分信息可以歸類爲明文信息。

定義一個payload:

{ "sub": "1234567890", "name": "John Doe", "admin": true }

然後將其進行base64加密，得到JWT的第二部分。

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

signature

JWT的第三部分是一個簽證信息，這個簽證信息由三部分組成：

• header (base64後的)
• payload (base64後的)
• secret

這個部分需要base64加密後的header和base64加密後的payload使用.連接組成的字符串，然後通過header中聲明的加密方式進行加鹽secret組合加密，然後就構成了jwt的第三部分。

// javascript 
var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload); var signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

將這三部分用.連接成一個完整的字符串,構成了最終的jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注意：secret是保存在服務器端的，jwt的簽發生成也是在服務器端的，secret就是用來進行jwt的簽發和jwt的驗證，所以，它就是你服務端的私鑰，在任何場景都不應該流露出去。一旦客戶端得知這個secret, 那就意味着客戶端是可以自我簽發jwt了。

refrensh_token

以上是摘自網絡上的一些文章說明，使用JWT肯定會遇到的一個問題是如何更新JWT，下面是自己的一些思路：

基本就是有三種方案:

• 每次請求都更新access_token，前端保存最新的。這樣如果在有效期內持續刷新就會變成無限期  
• access_token和refresh_token，假如access_token有效期2小時，refresh_token一星期,access_token失效但refresh_token仍在有效期可以更新access_token，如果refresh_token過期了就需要重新登錄  這其實就是指定了token最長有效期就是一週兩小時  
• 一個access_token 有限期一週 ，每次請求時後端檢查剩餘時間，如果還有一天就要到期了，那麼重新生成新的給前端  

上面的幾種方案既有相似之處，又有不同之處，可根據需求選擇！

以上方案是在下一點拙見，望有大佬給出更好的方案！

QQ交流羣：121160124