JWT验权


JWT是什么?

JWT(JSON Web Token)是一个公开的标准(RFC 7519),标准规定信息通过json的格式传递,这个信息是被加密过的,加密的姿势大致分为两种,一种是共同约定一个secret key,使用HMAC SHA256等等方式加密,还有一种就是public/private key,使用RSA方式加密。

JWT的结构有三部分组成,我们可以先看一个header中的加密后的JWT Token:

你会发现,他有两个英文句号分割了整个Token,其实JWT的结构有三部分组成:

。Header

。Payload

。Signature

Header举个例子:

{

  "alg": "HS256",

  "typ": "JWT"

}

这里alg表示加密方式,也可以是RSA

  base64UrlEncode(header)

PayLoad又分为三部分:注册请求、公有请求、私有请求。

eg:

{

  "sub": "1234567890",

  "name": "John Doe",

  "admin": true

}

这个sub就是注册请求部分,iss (issuer), exp (expiration time), sub (subject), aud(audience)

这个name就是公有请求部分,有点类似于协议的关键字(RFC 7519

这个admin才是我们自己的东西,可以是一个True,也可以是一个用户的手机号,后端用这个手机号去db中查询该手机号是否有访问的权限

  base64UrlEncode(payload)

Signature:

Signature = HMACSHA256(

  base64UrlEncode(header) + "." +

  base64UrlEncode(payload),

  secret)

最后把三部分用.拼接起来就生成了

为什么要使用JWT?

原始的session、cookie的验权方式太麻烦和难以拓展了,比如后端是服务器集群,那可能要做session的持久化等等,还有一些跨域cookie无法传递的问题,索性服务端就不保存session了,把数据保存在客户端, 每次请求由客户端把信息发送过来,前后端开发起来都比较爽

JWT的验权信息写在哪里?

写在http请求header里面:Authorization: Bearer <token>

哪有人会问了,我写在query string里面行不行?我为啥非要在token前面加个“Bearer ”啊?不加难道没办法验权?

当时是可以验权的,只要后端保证跟你的验证逻辑保持一致其实就好了,但是RFC 7519协议里面把Authorization和Bearer 当成了协议的一部分了,一些开源框架肯定是根据这个协议开发的。

缺点:

Base64是可逆算法,Payload里面的信息是属于公开信息;

任何人拿到你的token在不过期的时间内都是可以访问的,所以我们的过期时间要注意酌情调整

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,186评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,858评论 3 387
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,620评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,888评论 1 285
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,009评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,149评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,204评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,956评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,385评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,698评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,863评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,544评论 4 335
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,185评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,899评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,141评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,684评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,750评论 2 351

推荐阅读更多精彩内容