JWT 全称 JSON Web Tokens ,是一种规范化的 token。是对 token 这一技术提出一套规范。
JWT的结构
头部(header)
载荷(Payload)
签名(Signature)
Header
头部包含了两部分,采用的签名算法和token 类型
{
"alg": "HS256",
"typ": "JWT"
}
Payload
这部分就是我们存放信息的地方了,你可以把用户 ID 等信息放在这里(当然用户ID推荐加密后存放),JWT 规范里面对这部分有进行了比较详细的介绍,常用的由 iss(签发者),iat(签发时间),exp(过期时间),sub(面向的用户),aud(接收方)。
{
"iss": "lion1ou JWT",
"iat": 1441593502,
"exp": 1441594722,
"aud": "www.example.com",
"sub": "example@163.com"
}
Signature
Header 和 Payload 编码后的字符串拼接后再用HS256签名算法(Header中alg指明的算法)加密,在加密的过程中还需加上secret(密钥),最后得到签名
Tips:Base64是一种编码,并不是一种加密过程,不具备安全性,所以敏感信息别放入其中
JWT 生成 TOKEN
- header json 的 base64 编码为令牌第一部分
- payload json 的 base64 编码为令牌第二部分
- 拼装第一、第二部分编码后的 json 以及 secret 进行签名的令牌的第三部分
伪代码如下:
// 头部
header = '{"alg":"HS256","typ":"JWT"}'
// 载荷
payload = '{"loggedInAs":"admin","iat":1422779638}'
// 对 header 和 payload 分别进行 base64 编码后拼接起来进行 hash 运算得到签名
signature = HMAC-SHA256(encodeBase64Url(header) + "." + encodeBase64Url(payload),secret)
// 最后将三部分进行 base64 编码后再拼接即可得到 token。
json_web_token = encodeBase64Url(header) + '.' + encodeBase64Url(payload) + '.' + encodeBase64Url(signature)
JWT 使用
请求
- url 参数:?token=你的token
- header 中:Authorization:Bearer <token>(推荐)
注意Bearer和token之间有一个空格
接收
前端接收到后端返回的 token 后进行存储,一般存储在:
- LocalStorage
- SessionStorage
- Cookie
JWT 的优势和问题
优势
- 防 CSRF
- 适合移动应用
- 无状态的 RESTful API
- 一次性验证(如邮件激活)
问题
- 续签问题
- 注销问题
JWT 安全
- 使用 HTTPS
- 缩短 token 有效时间
- 定期更新密钥
- 使用HttpOnly属性来防止Cookie被JavaScript读取,防止 XSS 攻击窃取 cookie
- 不要在token中编码敏感信息,如果一定会有那必须先加密再进行编码
- 根据需要可将用户 IP 放入 Payload 进行校验
