JWT技術解決IM系統的認證痛點

一、痛點

隨著業務的發展，多個業務線接入了IM系統，IM系統長連線的安全問題變得很重要。

瓜子有統一登入認證系統SSO，IM長連線通道也利用這個系統做安全認證，結構如下圖。 

認證步驟如下

1、使用者登入App，App從業務後臺拿到單點系統SSO頒發的token

2、當App需要使用IM功能時，將token傳給IM客服端SDK

3、SDK跟IM Server建立長連線的時候用token進行認證

4、IM Server請求SSO系統，確認token合法性

咋一看，這個過程沒有什麼問題，但是IM（尤其是移動IM）業務的特殊性，這個結構並不好。

手機（移動端）網路很不穩定，進出地鐵可能斷網，挪動位置也可能換基站。在一次聊天過程中，會經常重新建立長連線，第3步會被頻繁執行，進而第4步也會頻繁執行。（1）大大增加了SSO系統的壓力；（2）較長的鏈路帶來的延遲對使用者的體驗是一種傷害（SSO系統也可能短暫開小差）。

如果不透過第4步就能完成驗證，那這個痛點會得到極大緩解。我們想到了JWT技術。

二、什麼是JWT？

官網上是這麼定義JWT的。JSON Web Token（JWT）是一種開放標準（RFC 7519），它定義了一種緊湊且獨立的方式，可以在各方之間透過JSON物件安全地傳輸資訊。此資訊可以透過數字簽名進行驗證和信任。 JWT可以使用密碼（使用HMAC演算法）或使用RSA或ECDSA的公鑰/私鑰對進行簽名。

JWT能做什麼？

1、授權（Authorization）

這是JWT最常見的使用場景。一旦使用者登入，後續每個請求將帶上JWT，就可以訪問該令牌（token）允許的路由，服務和資源。

JWT現在廣泛應用於單點登入，它開銷很小，並且能夠輕鬆跨域。

2、資訊交換（Information Exchange）

JWT是在各方之間安全傳輸資訊的好方法。因為JWT可以簽名（使用公鑰/私鑰對，簽名原理參看《你的HTTP介面簽名校驗做對了嗎？》）

您可以確定發件人的真實身份。此外，由於使用標頭和payload計算簽名，您還可以驗證內容是否未被篡改。

JWT資料結構

JWT包含了使用“.”分隔的三部分： Header 頭部 Payload 負載 Signature 簽名 

Header

在header中通常包含了兩部分：token型別和採用的加密演算法。{ "alg": "HS256", "typ": "JWT"} 接下來對這部分內容使用 Base64Url 編碼組成了JWT結構的第一部分。

Payload

Token的第二部分是負載，它包含了claim， claim是一些實體（通常指的使用者）的狀態和額外的後設資料，有三種型別的claim：reserved, public 和 private.

Signature

Signature是對header和payload兩部分資料簽名，透過指定的演算法生成雜湊，以確保資料不會被篡改。

更多關於JWT的資料參看

三、怎麼做驗證

採用JWT驗證長連線的流程如下 

1、使用者登入App，App從業務後臺拿到單點系統SSO頒發的token

2、當App需要使用IM功能時，將token傳給IM客服端SDK

3、SDK將使用者名稱及第2步中得到的token發給後臺的JWT Server（簽發jwttoken的模組），請求jwttoken。

4、JWT Server透過SSO系統驗證token的合法性，如果合法，用跟IM Server約定的公鑰/私鑰（或用對稱加密），根據業務需要簽發jwttoken，返回給IM Client SDK。

5、IM Client SDK使用得到的jwttoken請求IM Server驗證長連線。IM Server根據約定的演算法（不依賴其他系統）即可完成jwttoken合法性驗證。

頻繁建立長連線的驗證痛點得到解決。

四、缺點

1、JWT的最大缺點是伺服器不儲存會話狀態，所以在使用期間不可能取消令牌或更改令牌的許可權。也就是說，一旦JWT簽發，在有效期內將會一直有效。

2、JWT本身包含認證資訊，因此一旦資訊洩露，任何人都可以獲得令牌的所有許可權。為了減少盜用，JWT的有效期不宜設定太長。對於某些重要操作，使用者在使用時應該每次都進行進行身份驗證。

3、為了減少盜用和竊取，JWT不建議使用HTTP協議來傳輸程式碼，而是使用加密的HTTPS（SSL）協議進行傳輸。

以下這個地址的文章寫了一些適用JWT的場景