五分鐘技術(shù)趣談 | 一文讀懂JWT

作者：楊強，單位：中國移動智慧家庭運營中心成都業(yè)務(wù)支持中心

我們在做應(yīng)用系統(tǒng)時避免不了用戶的認證授權(quán)，說簡單點就是：認證你是誰，授權(quán)你有什么權(quán)限。在這里先來談?wù)動脩舻恼J證，目前常用的認證方式有兩種：基于session認證、基于token認證。而JWT（JSON Web Token）是目前最流行的跨域認證解決方案，是一種基于Token的認證授權(quán)機制。此外JWT還被廣發(fā)應(yīng)用于單點登陸及信息交換。

Part 01●??JWT是什么？?●

JWT（JSON Web Token）是一個開放的行業(yè)標準（RFC 7519），自身包含了身份驗證所需要的所有信息，因此我們的服務(wù)器不需要存儲用戶Session信息。這顯然增加了系統(tǒng)的可用性和伸縮性，大大減輕了服務(wù)端的壓力。可以看出JWT更符合設(shè)計RESTful API時的Stateless（無狀態(tài)）原則。并且使用JWT認證可以有效避免CSRF攻擊，因為JWT一般是存在在localStorage中，使用JWT進行身份驗證的過程中是不會涉及到Cookie的。

Part 02●??JWT由哪些部分組成？?●

JWT本質(zhì)上是一組字串，通常是這樣的：xxxxx.yyyyy.zzzzz，通過（.）切分成三個為Base64編碼的部分：

Header：描述JWT的元數(shù)據(jù)，定義了生成簽名的算法以及Token的類型。

Payload：用來存放實際需要傳遞的數(shù)據(jù)。

Signature：服務(wù)器通過Payload、Header和一個密鑰(Secret)

使用Header里面指定的簽名算法（默認是 HMAC SHA256）生成。

示例：

可以通過https://jwt.io對上述JWT進行解碼，解碼之后便可得到Header、Payload、Signature這三部分。Header和Payload都是JSON格式的數(shù)據(jù)，Signature由Payload、Header和Secret(密鑰)通過特定的計算公式和加密算法得到。

Header

通常由兩部分組成。

typ（Type）：令牌類型，也就是JWT

alg（Algorithm）：簽名算法，比如HS256

示例：

JSON形式的Header被轉(zhuǎn)換成Base64編碼，成為JWT的第一部。

Payload

包含了三種類型的聲明。

Registered Claims（注冊聲明）：預(yù)定義的一些聲明，建議使用，但不強制。

Public Claims（公有聲明）：JWT簽發(fā)方可以自定義的聲明。

Private Claims（私有聲明）：JWT簽發(fā)方因為項目需要而自定義的聲明。

下面是一些常見的注冊聲明：

iss（issuer）：JWT 簽發(fā)方。

iat（issued at time）：JWT簽發(fā)時間。

sub（subject）：JWT主題。

aud（audience）：JWT接收方。

exp（expiration time）：JWT的過期時間。

nbf（not before time）：JWT生效時間，早于該定義的時間的JWT不能被接受處理。

jti（JWT ID）：JWT唯一標識。

示例：

Payload部分默認是不加密的，一定不要將隱私信息存放在 Payload 當中?。。?/p>

JSON 形式的Payload被轉(zhuǎn)換成Base64編碼，成為JWT的第二部分。

Signature

對前兩部分的簽名，作用是防止JWT（主要是payload）被篡改。簽名的生成需要用到：Header+Payload、存放在服務(wù)端的密鑰(一定不要泄露出去)、簽名算法。簽名的計算公式如下：

算出簽名以后，把 Header、Payload、Signature三個部分拼成一個字符串，每個部分之間用"點"（.）分隔，這個字符串就是JWT。

Part 03●? JWT如何進行用戶認證？?●

在基于JWT進行身份驗證的的應(yīng)用程序中，服務(wù)器通過 Payload、Header和Secret(密鑰)創(chuàng)建JWT并將JWT發(fā)送給客戶端。客戶端接收到JWT之后，會將其保存在Cookie或者localStorage里面，以后客戶端發(fā)出的所有請求都會攜帶這個令牌。

簡化后的步驟如下：

1．用戶向服務(wù)器發(fā)送用戶名、密碼以及驗證碼用于登陸系統(tǒng)。

2．如果用戶用戶名、密碼以及驗證碼校驗正確的話，服務(wù)端會返回已簽名的Token，也就是JWT。

3．用戶以后每次向后端發(fā)請求都在Header中帶上這個JWT。

4．服務(wù)端檢查JWT并從中獲取用戶相關(guān)信息。

兩點建議：

1．建議將JWT存放在localStorage中，放在Cookie中會有CSRF風險。

2．請求服務(wù)端并攜帶JWT的常見做法是將其放在HTTP Header的Authorization字段中（Authorization：Bearer Token）

Part 04●?JWT如何防止被篡改？?●

服務(wù)器返回簽名之后，即使JWT被泄露或者截獲，黑客也沒辦法同時篡改Signature、Header、Payload。

這是為什么呢？因為服務(wù)端拿到JWT之后，會解析出其中包含的Header、Payload 以及Signature。服務(wù)端會根據(jù)Header、Payload、密鑰再次生成一個Signature。拿新生成的Signature和JWT中的Signature作對比，如果一樣就說明Header和Payload沒有被修改。

不過，如果服務(wù)端的秘鑰也被泄露的話，黑客就可以同時篡改Signature、Header、Payload了。黑客直接修改了Header和Payload之后，再重新生成一個Signature就可以了。

?注意：密鑰一定保管好，一定不要泄露出去。JWT安全的核心在于簽名，簽名安全的核心在密鑰。

Part 05●? JWT如何加強安全性？?●

1．使用安全系數(shù)高的加密算法。

2．使用成熟的開源庫，沒必要造輪子。

3．JWT存放在localStorage中而不是Cookie中，避免CSRF風險。

4．一定不要將隱私信息存放在Payload當中。

5．密鑰一定保管好，一定不要泄露出去。JWT安全的核心在于簽名，簽名安全的核心在密鑰。

6．Payload要加入exp（JWT的過期時間），永久有效的JWT不合理。并且JWT的過期時間不易過長。

Part 06●? JWT有哪些優(yōu)缺點？?●

- 優(yōu)點

1．無狀態(tài)：自身攜帶用戶信息，不需要在服務(wù)器上保存session信息。

2．可有效避免CSRF攻擊：CSRF攻擊需要依賴Cookie，然而JWT選擇存放在localStorage中，因此非法鏈接無法獲取JWT。

- 缺點

1．不可控：就比如說，我們想要在JWT有效期內(nèi)廢棄一個JWT或者更改它的權(quán)限的話，并不會立即生效，通常需要等到有效期過后才可以。再比如說，當用戶Logout的話，JWT也還有效。

Part 07●? JWT使用總結(jié)?●

在“約定優(yōu)于配置，配置優(yōu)于編碼”的開發(fā)理念下，通過Apollo配置中心，程序員不需要每次更改線上配置都要重新發(fā)布服務(wù)，成功實現(xiàn)了將配置與編碼解耦，為線上服務(wù)變更配置提供了解決方案。

參考文獻

[1]?https://jwt.io/，2023年09月12日.

[2]??https://www.iana.org/assignments/jwt/jwt.xhtml，2023年09月12日.

[3]?https://zhuanlan.zhihu.com/p/598529592，2023年09月12日.

[4]?https://zhuanlan.zhihu.com/p/86937325，2023年09月13日.