1、JWT 简介
Json web token (JWT),是为了在网络应用环境声明而执行的一种基于 JSON 的开放标准。特别适用于分布式站点的单点登录 (SSO),用于认证用户身份信息。
1.1、起源
JWT 的起源还有从传统的 session 认证说起。
1.1.1、传统 session 认证及其弊病
http 协议本身是无状态的协议,正常的若要识别用户身份信息,就需要每次 http 请求都携带用户账户和密码信息,这显然不合理。传统的 session 认证模式如下:
传统的 seesion 认证存在的问题:
1)用户信息存储在内存中,用户规模大之后增加服务器开销;
2)由于登录信息存储在内存中,限制了登录机器,不利于分布式站点。
1.1.2、JWT 认证流程
常规的 JWT 认证流程如下如:
相比于 session 认证,JWT 省去了服务器存储用户信息的过程。
1.2、JWT 格式
下图是 JWT 的格式与内容 https://jwt.io :
如上图,左边的为一个 JWT 示例,它是由点号拼接三个字符串组合而成。红色的是 header 部分,紫色的是 payload 部分,蓝色的 signature 部分。
JWT 格式是:
xxxx.yyyy.zzzz
1.2.1 header 部分
JWT 的头部包含两部分信息:
1)类型声明,这里是 JWT;
2)声明的加密算法,这里是 HS256。
上图的右边红色部分如下:
{
"alg": "HS256",
"typ": "JWT"
}
通过 base64 加密之后,形成图片中左边的第一段字符串 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9。
1.2.2 payload 部分
JWT 的载荷部分存放有效信息,一般由三部分组成:
1)标准注册声明;
2)公用声明;
3)私有声明。
标准注册声明
iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击
一般常用于校验的有 iat,exp,nbf 校验 token 是否过期。
公有声明
该出可以存放任何信息,例如个性化校验的身份信息等。
私有声明
由于改部分是通过 base64 进行加密的,可以反解,不建议存储任何隐秘信息。
JWT 的第二部分字符串是通过 base64 算法对 payload 信息进行加密。
1.2.3 signature
JWT 的签名部分,有图片中显示的可以看出该部分是服务器利用头部的加密算法和私钥对头部和载荷部分的信息进行加密。
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
your-secret-key)
通过加密,形成 token 的第三部分字符串。
1.3、JWT 常见校验流程
其中设置 payload 校验规则一般是检查
nbf、exp 以及用户自定义的一些字段。
2、单点登录介绍
2.1、基于 cookie 的单点登录
一般服务器在用户登录之后,会将 JWT 字符串作为登录请求的 Cookie 的一部分返回给用户,这样在 Cookie 失效或者被删除之前,用户每次访问引用,应用都会借口到含有 JWT 字符串信息的 Cookie,此时便可以取出 JWT 进行校验。
为了在多个域名下共享登录信息,例如:
abc.mycompany.com;
dfs.mycompany.com;
dfs.mycompany.com;
login.mycompany.com;
当用户在 login.mycompany.com 登录之后,可以设置如下 Cookie:
Set-Cookie: jwt=lll.zzz.xxx; HttpOnly; max-age=980000; domain=.mycompany.com
将 domain 设置为 .mycompany.com,这样所有满足 *.mycompany.com 的域名都可以结构该 Cookie,并获取 JWT。
2.2、多顶级域名下的单点登录
基于 cookie 的单点登录模式有一个弊病在于,其对应的多个站点的顶级域名必须相同。为了解决多顶级域名的站点单点登录,内部开发了一套登录模块,其架构如下:
单点登录的流程如下:
转载整理自
[1]: 什么是 JWT -- JSON WEB TOKEN
[2]: 八幅漫画理解使用 JSON Web Token 设计单点登录系统
