傳統用戶身份驗證

Internet服務無法與用戶身份驗證分開。一般過程如下：

?

用戶向服務器發送用戶名和密碼。

驗證服務器后，相關數據（如用戶角色，登錄時間等）將保存在當前會話中。

服務器向用戶返回session_id，session信息都會寫入到用戶的Cookie。

用戶的每個后續請求都將通過在Cookie中取出session_id傳給服務器。

服務器收到session_id并對比之前保存的數據，確認用戶的身份。

?

?

這種模式最大的問題是，沒有分布式架構，無法支持橫向擴展。

解決方案

?

session廣播

將透明令牌存入cookie，將用戶身份信息存入redis

?

另外一種靈活的解決方案：

使用自包含令牌，通過客戶端保存數據，而服務器不保存會話數據。 JWT是這種解決方案的代表。

JWT令牌

訪問令牌的類型

?

JWT的組成

典型的，一個JWT看起來如下圖：

該對象為一個很長的字符串，字符之間通過"."分隔符分為三個子串。

每一個子串表示了一個功能塊，總共有以下三個部分：JWT頭、有效載荷和簽名

JWT頭

JWT頭部分是一個描述JWT元數據的JSON對象，通常如下所示。

{"alg": "HS256","typ": "JWT" }

在上面的代碼中，alg屬性表示簽名使用的算法，默認為HMAC SHA256（寫為HS256）；typ屬性表示令牌的類型，JWT令牌統一寫為JWT。最后，使用Base64 URL算法將上述JSON對象轉換為字符串保存。

有效載荷

有效載荷部分，是JWT的主體內容部分，也是一個JSON對象，包含需要傳遞的數據。 JWT指定七個默認字段供選擇。

iss：發行人 exp：到期時間 sub：主題 aud：用戶 nbf：在此之前不可用 iat：發布時間 jti：JWT ID用于標識該JWT

除以上默認字段外，我們還可以自定義私有字段，如下例：

{"sub": "1234567890","name": "Helen","admin": true }

請注意，默認情況下JWT是未加密的，任何人都可以解讀其內容，因此不要構建隱私信息字段，存放保密信息，以防止信息泄露。

JSON對象也使用Base64 URL算法轉換為字符串保存。

簽名哈希

簽名哈希部分是對上面兩部分數據簽名，通過指定的算法生成哈希，以確保數據不會被篡改。

首先，需要指定一個密碼（secret）。該密碼僅僅為保存在服務器中，并且不能向用戶公開。然后，使用標頭中指定的簽名算法（默認情況下為HMAC SHA256）根據以下公式生成簽名。

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(claims), secret)

在計算出簽名哈希后，JWT頭，有效載荷和簽名哈希的三個部分組合成一個字符串，每個部分用"."分隔，就構成整個JWT對象。

Base64URL算法

如前所述，JWT頭和有效載荷序列化的算法都用到了Base64URL。該算法和常見Base64算法類似，稍有差別。

作為令牌的JWT可以放在URL中（例如api.example/?token=xxx）。 Base64中用的三個字符是"+"，"/"和"="，由于在URL中有特殊含義，因此Base64URL中對他們做了替換："="去掉，"+"用"-"替換，"/"用"_"替換，這就是Base64URL算法。

JWT的原則

JWT的原則是在服務器身份驗證之后，將生成一個JSON對象并將其發送回用戶，如下所示。

{"sub": "1234567890","name": "Helen","admin": true }

之后，當用戶與服務器通信時，客戶在請求中發回JSON對象。服務器僅依賴于這個JSON對象來標識用戶。為了防止用戶篡改數據，服務器將在生成對象時添加簽名。

服務器不保存任何會話數據，即服務器變為無狀態，使其更容易擴展。

JWT的用法

客戶端接收服務器返回的JWT，將其存儲在Cookie或localStorage中。

此后，客戶端將在與服務器交互中都會帶JWT。如果將它存儲在Cookie中，就可以自動發送，但是不會跨域，因此一般是將它放入HTTP請求的Header Authorization字段中。當跨域時，也可以將JWT被放置于POST請求的數據主體中。

JWT問題和趨勢

• JWT不僅可用于認證，還可用于信息交換。善用JWT有助于減少服務器請求數據庫的次數。
• 生產的token可以包含基本信息，比如id、用戶昵稱、頭像等信息，避免再次查庫
• 存儲在客戶端，不占用服務端的內存資源
• JWT默認不加密，但可以加密。生成原始令牌后，可以再次對其進行加密。
• 當JWT未加密時，一些私密數據無法通過JWT傳輸。
• JWT的最大缺點是服務器不保存會話狀態，所以在使用期間不可能取消令牌或更改令牌的權限。也就是說，一旦JWT簽發，在有效期內將會一直有效。
• JWT本身包含認證信息，token是經過base64編碼，所以可以解碼，因此token加密前的對象不應該包含敏感信息，一旦信息泄露，任何人都可以獲得令牌的所有權限。為了減少盜用，JWT的有效期不宜設置太長。對于某些重要操作，用戶在使用時應該每次都進行進行身份驗證。
• 為了減少盜用和竊取，JWT不建議使用HTTP協議來傳輸代碼，而是使用加密的HTTPS協議進行傳輸。

?

總結

以上是生活随笔為你收集整理的使用JWT进行跨域身份验证的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。