JWT概述和使用
JWT是一種用於雙方之間傳遞安全資訊的簡潔的、URL安全的表述性宣告規範。JWT作為一個開放的標準(RFC 7519),定義了一種簡潔的,自包含的方法用於通訊雙方之間以Json物件的形式安全的傳遞資訊。因為數字簽名的存在,這些資訊是可信的,JWT可以使用HMAC演算法或者是RSA的公私祕鑰對進行簽名。簡潔(Compact): 可以通過URL,POST引數或者在HTTP header傳送,因為資料量小,傳輸速度也很快 自包含(Self-contained):負載中包含了所有使用者所需要的資訊,避免了多次查詢資料庫
JWT的主要應用場景
身份認證在這種場景下,一旦使用者完成了登陸,在接下來的每個請求中包含JWT,可以用來驗證使用者身份以及對路由,服務和資源的訪問許可權進行驗證。由於它的開銷非常小,可以輕鬆的在不同域名的系統中傳遞,所有目前在單點登入(SSO)中比較廣泛的使用了該技術。 資訊交換在通訊的雙方之間使用JWT對資料進行編碼是一種非常安全的方式,由於它的資訊是經過簽名的,可以確保傳送者傳送的資訊是沒有經過偽造的。
JWT的結構
JWT包含了使用.分隔的三部分: Header 頭部 Payload 負載 Signature 簽名
其結構看起來是這樣的Header.Payload.Signature
Header
在header中通常包含了兩部分:token型別和採用的加密演算法。{ “alg”: “HS256”, “typ”: “JWT”} 接下來對這部分內容使用 Base64Url 編碼組成了JWT結構的第一部分。
Payload
Token的第二部分是負載,它包含了claim, Claim是一些實體(通常指的使用者)的狀態和額外的後設資料,有三種型別的claim:reserved, public 和 private.Reserved claims: 這些claim是JWT預先定義的,在JWT中並不會強制使用它們,而是推薦使用,常用的有 iss(簽發者),exp(過期時間戳), sub(面向的使用者), aud(接收方), iat(簽發時間)。 Public claims:根據需要定義自己的欄位,注意應該避免衝突 Private claims:這些是自定義的欄位,可以用來在雙方之間交換資訊 負載使用的例子:{ “sub”: “1234567890”, “name”: “John Doe”, “admin”: true} 上述的負載需要經過Base64Url編碼後作為JWT結構的第二部分。
Signature
建立簽名需要使用編碼後的header和payload以及一個祕鑰,使用header中指定簽名演算法進行簽名。例如如果希望使用HMAC SHA256演算法,那麼簽名應該使用下列方式建立: HMACSHA256( base64UrlEncode(header) + “.” + base64UrlEncode(payload), secret) 簽名用於驗證訊息的傳送者以及訊息是沒有經過篡改的。 完整的JWT 完整的JWT格式的輸出是以. 分隔的三段Base64編碼,與SAML等基於XML的標準相比,JWT在HTTP和HTML環境中更容易傳遞。 下列的JWT展示了一個完整的JWT格式,它拼接了之前的Header, Payload以及祕鑰簽名:
如何使用JWT? 在身份鑑定的實現中,傳統方法是在服務端儲存一個session,給客戶端返回一個cookie,而使用JWT之後,當使用者使用它的認證資訊登陸系統之後,會返回給使用者一個JWT,使用者只需要本地儲存該token(通常使用local storage,也可以使用cookie)即可。 當使用者希望訪問一個受保護的路由或者資源的時候,通常應該在Authorization頭部使用Bearer模式新增JWT,其內容看起來是下面這樣:Authorization: Bearer
因為使用者的狀態在服務端的記憶體中是不儲存的,所以這是一種無狀態的認證機制。服務端的保護路由將會檢查請求頭Authorization中的JWT資訊,如果合法,則允許使用者的行為。由於JWT是自包含的,因此減少了需要查詢資料庫的需要。 JWT的這些特性使得我們可以完全依賴其無狀態的特性提供資料API服務,甚至是建立一個下載流服務。因為JWT並不使用Cookie的,所以你可以使用任何域名提供你的API服務而不需要擔心跨域資源共享問題(CORS)。 下面的序列圖展示了該過程:
為什麼要使用JWT? 相比XML格式,JSON更加簡潔,編碼之後更小,這使得JWT比SAML更加簡潔,更加適合在HTML和HTTP環境中傳遞。 在安全性方面,SWT只能夠使用HMAC演算法和共享的對稱祕鑰進行簽名,而JWT和SAML token則可以使用X.509認證的公私祕鑰對進行簽名。與簡單的JSON相比,XML和XML數字簽名會引入複雜的安全漏洞。 因為JSON可以直接對映為物件,在大多數程式語言中都提供了JSON解析器,而XML則沒有這麼自然的文件-物件對映關係,這就使得使用JWT比SAML更方便 java json web token工具類
public class JwtHelper {
private final static String base64Secret = "MDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0ZjY=";
private final static int expiresSecond = 172800000;
public static Claims parseJWT(String jsonWebToken) {
try {
Claims claims = Jwts.parser()
.setSigningKey(DatatypeConverter.parseBase64Binary(base64Secret))
.parseClaimsJws(jsonWebToken).getBody();
return claims;
} catch (Exception ex) {
return null;
}
}
public static String createJWT(String username, String roles, String privileges) {
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
//生成簽名金鑰
byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(base64Secret);
Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
//新增構成JWT的引數
JwtBuilder builder = Jwts.builder().setHeaderParam("typ", "JWT")
.claim("user_name", username)
.claim("user_role", roles)
.claim("user_privilege", privileges)
.signWith(signatureAlgorithm, signingKey);
//新增Token過期時間
if (expiresSecond >= 0) {
long expMillis = nowMillis + expiresSecond;
Date exp = new Date(expMillis);
builder.setExpiration(exp).setNotBefore(now);
}
//生成JWT
return builder.compact();
}
}
原作者:Renky
連結:https://www.jianshu.com/p/2fdc20a42c41
相關文章
- Python JWT 介紹和使用PythonJWT
- jwt是什麼?php jwt類封裝和使用JWTPHP封裝
- jwt以及如何使用jwt實現登入JWT
- Laravel 配合 jwt 使用LaravelJWT
- DingoApi 中使用 JWTGoAPIJWT
- laravel中使用jwtLaravelJWT
- XSD 使用概述
- JWT 完整使用詳解JWT
- Gin(十五):JWT使用(續)JWT
- JWT-配置與使用JWT
- jwt-在asp.net core中的使用jwtJWTASP.NET
- linux使用者賬號和組賬號概述Linux
- 冷飯新炒:理解JWT的實現原理和基本使用JWT
- 使用 JWT 認證使用者身份JWT
- DataFrame概述與使用
- selenium和PhantomJS概述JS
- Spring Boot中使用token:jwtSpring BootJWT
- 使用 OAuth 2 和 JWT 為微服務提供安全保障 – 基本概念OAuthJWT微服務
- PHP 使用 jwt 使用者身份認證PHPJWT
- Gin框架dgrijalva/jwt-go例項(JWT使用者認證)框架JWTGo
- 聊聊PHP裡面JWT的使用PHPJWT
- 使用JWT的Spring Security - JakubLeškoJWTSpring
- simple-jwt的簡單使用JWT
- laravel 介面使用JWT(dingo)認證LaravelJWTGo
- GraphQL 配合 JWT 使用 —— Laravel RSS (二)JWTLaravel
- Composer 使用 JWT 生成 TOKEN 例項JWT
- Laravel 5.7 和 JSON Web 令牌(tymon/jwt-auth) - 使用者認證LaravelJSONWebJWT
- 淺談SAML, OAuth, OpenID和SSO, JWT和SessionOAuthJWTSession
- lcobucci/jwt的安裝和使用(讓天下沒有難寫和難讀的程式碼)JWT
- JWT 快速為使用者生成 tokenJWT
- ThinkPHP5 使用 JWT 進行加密PHPJWT加密
- Lumen 8.0 使用 Jwt 認證的 ApiJWTAPI
- jwt生成token和token解析基礎JWT
- 【java】Pattern和Matcher的概述Java
- CountDownLatch 概述和原始碼分析CountDownLatch原始碼
- CNN,GAN,AE和VAE概述CNN
- Oracle Data Guard和Broker概述Oracle
- 代理和負載均衡概述負載