jwt是json web token的簡稱,本文介紹它的原理,最後後端用nodejs自己實現如何為客戶端生成令牌token和校驗token
1.為什麼需要會話管理
我們用nodejs為前端或者其他服務提供resful介面時,http協議他是一個無狀態的協議,有時候我們需要根據這個請求的上下獲取具體的使用者是否有許可權,針對使用者的上下文進行操作。所以出現了cookies session還有jwt這幾種技術的出現, 都是對HTTP協議的一個補充。使得我們可以用HTTP協議+狀態管理構建一個的面向使用者的WEB應用。
2.session和cookies
session和cookies是有聯絡的,session就是服務端在客戶端cookies種下的session_id, 服務端儲存session_id所對應的當前使用者所有的狀態資訊。每次客戶端請求服務端都帶上cookies中的session_id, 服務端判斷是否有具體的使用者資訊,如果沒有就去調整登入。
- cookies安全性不好,攻擊者可以透過獲取本地cookies進行欺騙或者利用cookies進行CSRF攻擊。
- cookies在多個域名下,會存在跨域問題
- session的資訊是儲存在服務端上面的,當我們node.js在stke部署多臺機器的時候,需要解決共享session,所以引出來session持久化問題,所以session不支援分散式架構,無法支援橫向擴充套件,只能透過資料庫來儲存會話資料實現共享。如果持久層失敗會出現認證失敗。
3.jwt的定義
jwt是json web token的全稱,他解決了session以上的問題,優點是伺服器不儲存任何會話資料,即伺服器變為無狀態,使其更容易擴充套件,什麼情況下使用jwt比較合適,我覺得就是授權這個場景,因為jwt使用起來輕便,開銷小,後端無狀態,所以使用比較廣泛。
4.jwt的原理
JWT 的原理是,伺服器認證以後,生成一個 JSON 物件,發回給使用者,就像下面這樣。
{
"姓名": "張三",
"角色": "管理員",
"到期時間": "2018年7月1日0點0分"
}
以後,使用者與服務端通訊的時候,都要發回這個 JSON 物件。伺服器完全只靠這個物件認定使用者身份。為了防止使用者篡改資料,伺服器在生成這個物件的時候,會加上簽名。
5.jwt的認證流程
流程說明:
- 瀏覽器發起請求登陸,攜帶使用者名稱和密碼;
- 服務端根據使用者名稱和明碼到資料庫驗證身份,根據演算法,將使用者識別符號打包生成 token,
- 伺服器返回JWT資訊給瀏覽器,JWT不應該包含敏感資訊,這是很重要的一點
- 瀏覽器發起請求獲取使用者資料,把剛剛拿到的 token一起傳送給伺服器,一般放在header裡面,欄位為authorization
- 伺服器發現資料中有 token,decode token的資訊,然後再次簽名,驗明正身;
- 伺服器返回該使用者的使用者資料;
- 伺服器可以在payload設定過期時間, 如果過期了,可以讓客戶端重新發起驗證。
6.jwt的資料結構
jwt包含了使用.
風格的三個部分
Header頭部
{ "alg": "HS256", "typ": "JWT"}
// algorithm => HMAC SHA256
// type => JWT
這是固定的寫法,alg表面要用的是HS256演算法
Payload 負載、載荷,JWT 規定了7個官方欄位
iss (issuer):簽發人
exp (expiration time):過期時間
sub (subject):主題
aud (audience):受眾
nbf (Not Before):生效時間
iat (Issued At):簽發時間
jti (JWT ID):編號
除了這七個,可以自定義,比如過期時間
Signature 簽名
對前兩部分header和payload進行簽名,防止資料篡改
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
secret是一段字串,後端儲存,需要注意的是JWT 作為一個令牌(token),有些場合可能會放到 URL(比如 api.example.com/?token=xxx)。Base64 有三個字元+、/和=,在 URL 裡面有特殊含義,所以要被替換掉:=被省略、+替換成-,/替換成_ 。這就是 Base64URL 演算法。
7.jwt使用方式
HTTP 請求的頭資訊Authorization
欄位裡面, Bearer也是規定好的
Authorization: Bearer <token>
透過url傳輸(不推薦)
http://www.xxx.com/pwa?token=xxxxx
如果是post請求也可以放在請求體中
8.在koa專案中使用
可以使用現成庫,jwt-simple
或者 jsonwebtoken
let Koa = require('koa');
let Router = require('koa-router');
let bodyparser = require('koa-bodyparser');
let jwt = require('jwt-simple');
let router = new Router()
let app = new Koa();
app.use(bodyparser());
// 可以自己自定義
let secret;
// 驗證是否登陸
router.post('/login',async(ctx)=>{
let {username,password} = ctx.request.body;
if(username === 'admin' && password === 'admin'){
// 通常會查資料庫,這裡簡單的演示
let token = jwt.encode(username, secret);
ctx.body = {
code:200,
username,
token,
}
}
});
// 驗證是否有許可權
router.get('/validate',async(ctx)=>{
let Authorization = ctx.get('authorization')
let [,token] = Authorization.split(' ');
if(token){
try{
let r = jwt.decode(token,secret);
ctx.body = {
code:200,
username:r,
token
}
}catch(e){
ctx.body = {
code:401,
data:'沒有登陸'
}
}
}else{
ctx.body = {
code:401,
data:'沒有登陸'
}
}
});
app.use(router.routes());
app.listen(4000);
- 實現兩個介面 一個是
/login
驗證是否登入,一個是validate
,驗證是否有許可權 - 請求login介面的時候,客戶端帶username和password, 後端一般會查資料庫,驗證是否存在當前使用者,如果存在則為username進行簽名,千萬不要給password這些敏感資訊也帶進來簽名
- 客戶端接收後端給的token令牌,再請求其他介面,比如這個例子的
/validate
的時候,ajax請求的時候,可以在header指定authorization
欄位,後端拿到token進行decode,然後將header和payload進行再一次的簽名,如果前後的簽名一致,說明沒有被篡改過,則許可權驗證透過。因為是同步的過程,所以可以用try catch來捕捉錯誤
9.原理的實現
- sha256雜湊演算法,可以用nodejs的內建加密模組crypto, 生成base64字串,要注意的是生成base64需要為+ - = 做一下替換,=被省略、+替換成-,/替換成_ 。這就是 Base64URL 演算法。
- token令牌的組成是header, payload和sigin的透過
.
來組成 - base64urlUnescape的解碼是固定寫法,decode出base64的內容
let myJwt = {
sign(content,secret){
let r = crypto.createHmac('sha256',secret).update(content).digest('base64');
return this.base64urlEscape(r)
},
base64urlEscape(str){
return str.replace(/\+/g, '-').replace(/\//g, '_').replace(/=/g, '');
},
toBase64(content){
return this.base64urlEscape(Buffer.from(JSON.stringify(content)).toString('base64'))
},
encode(username,secret){
let header = this.toBase64({ typ: 'JWT', alg: 'HS256' });
let content = this.toBase64(username);
let sign = this.sign([header,content].join('.'),secret);
return [header,content,sign].join('.')
},
base64urlUnescape(str) {
str += new Array(5 - str.length % 4).join('=');
return str.replace(/\-/g, '+').replace(/_/g, '/');
},
decode(token,secret){
let [header,content,sign] = token.split('.');
let newSign = this.sign([header,content].join('.'),secret);
if(sign === newSign){
return Buffer.from(this.base64urlUnescape(content),'base64').toString();
}else{
throw new Error('被篡改')
}
}
}
參考 前端進階面試題詳細解答
10.jwt的優缺點
- JWT預設不加密,但可以加密。生成原始令牌後,可以使用改令牌再次對其進行加密。
- 當JWT未加密方法是,一些私密資料無法透過JWT傳輸。
- JWT不僅可用於認證,還可用於資訊交換。善用JWT有助於減少伺服器請求資料庫的次數。
- JWT的最大缺點是伺服器不儲存會話狀態,所以在使用期間不可能取消令牌或更改令牌的許可權。也就是說,一旦JWT簽發,在有效期內將會一直有效。
- JWT本身包含認證資訊,因此一旦資訊洩露,任何人都可以獲得令牌的所有許可權。為了減少盜用,JWT的有效期不宜設定太長。對於某些重要操作,使用者在使用時應該每次都進行進行身份驗證。
- 為了減少盜用和竊取,JWT不建議使用HTTP協議來傳輸程式碼,而是使用加密的HTTPS協議進行傳輸。