JWT(JSON Web Tokens)是一项RFC的标准,由RFC 7519定义,用于两个实体之间安全地传输用JSON表示的数据。在传输过程中,JWT表现为一个字符串,可以通过HTTP的参数或者Header传输,由三部分字符串用点号相连,格式如下:
header.payload.signature
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
eyJ1c2VySWQiOiJiMDhmODZhZi0zNWRhLTQ4ZjItOGZhYi1jZWYzOTA0NjYwYmQiLCJleHAiOjEzNzE3MjA5Mzl9.
azSoRzdIHPLTNL2OsJsoXB1qCeThVYeEba_YYt6ZSTw
在应用程序中,JWT主要由JSON格式的header,payload,签名算法及密钥等内容组成。具体我们将在下文描述。
JWT主要的使用场景有:
- 认证:用户登录后,后续的交互使用JWT来验证
- 信息交换:可用于传输用户信息等数据
一个典型的场景如下图所示:
①首先用户通过用户名密码向认证服务器发起请求
②认证服务器核实用户身份之后,生成一个Token返回到客户端,这个生成过程如下:首先构造称为header的JSON对象:
{
"typ":"JWT",
"alg":"HS256" }
这个JSON包含两个字段,typ表示Token的类型,一般情况下为JWT,alg表示签名算法,这里我们使用HMACSHA256算法。
接着是payload部分,认证服务器验证密码后找到用户的ID,将其放入payload,并且给定一个过期时间:
{
"userId":"b08f86af-35da-48f2-8fab-cef3904660bd",
"exp":1371720939 }
接着我们把header和payload分别使用base64urlEncode算法编码,然后用点号连接起来,并且使用私钥和HS256算法进行签名,伪代码如下:
private_key = "---...---"
header_code = base64urlEncode(header)
payload_code = base64urlEncode(payload)
data =header_code + "." + payload_code
signature = HMACSHA256(data,private_key)
jwt = data + "." + signature
通过以上的过程,认证服务器将jwt返回的客户端,格式如:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VySWQiOiJiMDhmODZhZi0zNWRhLTQ4ZjItOGZhYi1jZWYzOTA0NjYwYmQiLCJleHAiOjEzNzE3MjA5Mzl9.azSoRzdIHPLTNL2OsJsoXB1qCeThVYeEba_YYt6ZSTw
需要注意的是,JWT并没有加密,而只是进行编码和签名,没有解决安全性问题,https等基础设施依然必要。
③OK,客户端现在拿到JWT,可以使用认证服务器的公钥进行验证,拿到payload里面的数据,用于页面展示等。然后携带JWT想应用服务器请求API。
④API服务器拿到JWT后,同样使用认证服务器的公钥验证签名,判断用户是否经过认证,token是否还在有效期内等,同样可以拿到payload中的用户id,用于日志等数据存储。认证完成之后,将业务数据返回给客户端。
上述提到的payload部分,按照标准,主要用于三类声明:
- Registered claims: 这些是预定义的字段,用于特定的目的,例如iss表示token发行者,exp表示过期时间等。
- Public claims:这些是公共的声明,一般采用uri前缀等方式避免冲突,在IANA JSON Web Token注册中心统一注册
- Private claims:应用开发者自行决定的声明,如上面的userId字段。
几乎每一种编程语言都有对JWT的支持库,如python的pyjwt,具体参考jwt.io
参考:
jwt.io对JWT的介绍:https://jtw.io/introduction
5个步骤理解JWT:https://medium.com/vandium-software/5-easy-steps-to-understanding-json-web-tokens-jwt-1164c0adfcec