1.背景介绍
传统身份验证的方法
HTTP 是一种没有状态的协议,也就是它并不知道是谁是访问应用。
当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID 号发送给客户端,客户端收到以后把这个 ID 号存储在 Cookie里,下次这个用户再向服务端发送请求的时候,可以带着这个Cookie,这样服务端会验证一个这个 Cookie里的信息,看看能不能在服务端这里找到对应的记录,如果可以,说明用户已经通过了身份验证,就把用户请求的数据返回给客户端。(Session)
2.知识剖析
基于 Token 的身份验证方法
使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。
Token身份验证基本流程
1). 客户端使用用户名跟密码请求登录
2). 服务端收到请求,去验证用户名与密码
3). 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
4). 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里
5). 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
6). 服务端收到请求,然后去验证客户端请求里面带着的Token,如果验证成功,就向客户端返回请求的数据
JWT——实施验证Token的标准方法
JWT 标准的 Token 有三个部分:
header
payload
signature
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5N
TU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ
.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc
header 部分
1、 Token 的类型
2、 使用的算法
{
"typ": "JWT",
"alg": "HS256"
}
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
Payload 部分(载荷)
1、 sub: 该JWT所面向的用户
2、 iss: 该JWT的签发者
3、 iat(issued at): 在什么时候签发的token
4、 exp(expires): token什么时候过期
5、 nbf(not before):token在此时间之前不能被接收处理
6、 jti:JWT ID为web token提供唯一标识
Signature 部分(签名)
1、 用 Base64 编码的 header.payload
2、 加密算法加密(将密钥存储在服务端)
3.编码实战
4.常见问题&更多讨论
1、 用户匹配
服务端在生成token时,加入少量的用户信息,比如用户的id。服务端接收到token之后,可以解析出这些数据,从而将token和用户关联了起来。
2、 防伪造
建议放入token的数据是不敏感的数据,这样只要服务端使用私钥对数据生成签名,然后和数据拼接起来,作为token的一部分即可
基于加密的算法,对数据进行加密,把加密的结果作为token
3、 防冒充
1) 加干扰码
服务端在生成token时,使用了客户端的UA作为干扰码对数据加密,客户端进行请求时,会同时传入token、UA,服务端使用UA对token解密,从而验证用户的身份。
2) 有效期
给token加上有效期,即使被冒充也只是在一定的时间段内有效。每次服务端接收到请求,解析token之后,判断是否已过期,如果过期就拒绝服务。
4.什么是UA
User Agent中文名为用户代理,简称 UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。
一些网站常常通过判断 UA 来给不同的操作系统、不同的浏览器发送不同的页面,因此可能造成某些页面无法在某个浏览器中正常显示,但通过伪装 UA 可以绕过检测。
