JWT在项目中实践小结

时间:2024-03-25 20:52:37

  JWT即JSON WEB TOKEN的缩写,轻量级的令牌认证(相比于oauth),可用于数据交换间的安全传输,同时可使用公钥/私钥的非对称算法对信息进行数字签名,如RS256算法。

  它由3部分组成:

  • Header  头信息
  • Payload  荷载信息,实际数据;一个token的第二个部分是荷载信息,它包含一些声明Claim(实体的描述,通常是一个User信息,还包括一些其他的元数据)
  • Signature  由头信息+荷载信息+** 组合之后进行加密得到,使用header中指定的算法将编码后的header、编码后的payload、一个secret进行加密

  3部分的所包含的内容及详细组成网上已很多,这里不再啰嗦,我们只对jwt实际使用过程的注意事项及坑做下分享,希望后来者可以更好的使用jwt。   

  【一】项目实践中需要注意一下几点:  

  1、由于palyload部分的实际数据可很容易被解出,所以在实际应用中,切记不可在其中传输敏感数据,如密码、秘钥等信息,jwt能做到的主要是防止数据被篡改。

  2、非对称算法,如RS256皆是服务于签名,即Signature部分,目的就是为了让服务器可以很明确的知道收到的数据是否合法,因此在客户端去做此jwt生成过程是不明智的,容易将**公之于众,这样也就失去了jwt防篡改功能。(有一点想不明白的是,如果使用非对称算法,那么公钥理论可以公开,这时候如何保证数据的合法性??我们目前使用的是HS256算法,只有一个**且不可公开)

  3、jwt涉及base64及加密处理,所以会使传输的数据会比裸传数据大很多,这个需要根据实际情况评估并做好平衡

 【二】 可能的使用场景:

  1、单点登录,此场景也是使用最广的一种,流程原理很简单:

  用户登录成功-》生成token返回前端并保存(cookie或localstorage)-》之后每次请求在header或body中带此token-》服务器验证此token以保证数据合法性

  以下引用jwt官网的一张图,可大概说明以上jwt过程:

JWT在项目中实践小结

    此场景应用相比于cookie直接保存登录信息,可有效防止CSRF攻击(原理可见:https://segmentfault.com/a/1190000003716037),

  CSRF (Cross Site Request Forgery),它讲的是你在一个浏览器中打开了两个标签页,其中一个页面通过窃取另一个页面的 cookie 来发送伪造的请求,因为 cookie 是随着请求自动发送到服务端的。

    2、与第三方接口的数据传输,在处理对外接口时(特别是公司之外业务)可很方便的作为一个约定,可很好的减少由于数据安全性问题所要做的沟通工作。

  但由于jwt涉及base64及加密处理,所以会使传输的数据会比裸传数据大很多,这方面大家可以根据实际情况做平衡取舍。对于公司内部的项目及对传输数据量有极高要求的更要慎重考虑用jwt方式;对于这种情况,我们目前的处理方式是模仿jwt,但使用内部约定的签名方式对数据进行数字签名,以达到目的。

【三】JWT、JWS、JWE区别(网上摘录)

  一开始很迷茫于这几个缩写的区别,应该很多人跟我有同样迷茫,特意查了下,

  1、3个的全拼:JWT(JSON Web Tokens)、JWS(JSON Web Signature)、JWE(JSON Web Encryption)

  2、关于JWT,可参考RFC7519(https://tools.ietf.org/html/rfc7519)的描述:

  JSON Web Token (JWT) 是一个间接地、URL安全的,表现为一组声明,可以在双方之间进行传输。一个JWT的声明,是指经过编码后的一个JSON对象,这个JSON对象可以是一个JSON Web     Signature(JWS)结构的荷载(payload),或者是一个JSON Web Encryption(JWE)结构的明文。允许使用声明进行数字签名,或者通过一个Message Authentication Code(MAC)进行完整性保护可选择是否加密。

  即,一组JWT声明(JSON格式的Claims)被通过JWS结构或JWE结构发送。JWS和JWE实际上是一个荷载,JWT则是一种基于荷载的实际实现。

  3、JWS,对内容进行数字化签名

  4、JWE,对内容进行加密,而不是签名,JWT声明会被加密码,因此带来了内容的保密性。JWE可以被签名并附在JWS里。这样的话就可以同时加密和签名。

  5、对于客户端,分辨JWS或JWE

  JWS的Header与JWE的Header是不同的,可以通过检查“alg”Header参数的值来区分。如果这个值表现为一个数字签名或者MAC的算法,或者是”none“,则它是一个JWS。

  如果它表现为一个 Key Encryption, Key Wrapping, Direct Key Agreement, Key Agreement with Key Wrapping, or Direct Encryption algorithm。则它是一个JWE。

  还可以通过Header里的“enc”(encryption algorithm)是否存在来判断,如果"enc"这个成员存在的话说明是JWE,否则的话就是JWS.

附,以下我整理了下开发过程用到的jwt包:

在线debuger及各种语言lib包:https://jwt.io/ 

php包:https://github.com/psecio/jwt

javascript/nodejs包:https://kjur.github.com/jsrsasign

转载于:https://my.oschina.net/u/125977/blog/1359386