JWT实现鉴权

一、前言

        JWT全称JSON Web Token,是一种基于JSON的,用于在网络上声明某种主张的令牌(Token)。JWT通常由三部分组成:头信息(header)、消息体(payload)、签名(signature)。

       

        头信息(Header)指定了该JWT使用的签名算法: 

header = '{"alg":"HS256","typ":"JWT"}'
HS256表明了使用HMAC-SHA256来生成签名。

       消息体(payload)包含了JWT的意图,比如userId、roleId、expireTime等。

       签名(Signature)是对前两部分的签名,防止数据篡改。签名首先需要指定1个秘钥(Secret),这个秘钥只有服务器才能知道,不能泄露给用户,然后使用Header里面指定的签名算法(默认是 HMAC SHA256),按照下面公式产生签名。

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)
算出签名之后, Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。  

二、为什么要用JWT 

       随着技术的发展,分布式Web应用的普及,通过Session管理用户登录状态成本越来越高。因此慢慢发展为token的方式做登录身份校验,然后通过Token去取Redis中的缓存的用户信息,随着之后,JWT的出现,检验方式更加简单便捷化,无需通过Redis缓存,而是直接根据Token取出用户的信息,以及对Token的可用性校验,单点登录更加便捷。

                                    

       登录之后,Client保存Token信息,比如用Angular的LocalStorage来保存Token信息。之后每次请求业务接口,把Token信息放到Http请求的Head里面。

三、JWT的使用方式

      客户端收到服务器返回的JWT,可以存储在Cookie里面,也可以存储在localstorage里面。

      此后,客户端每次与服务器通信,都要带上这个JWT,可以把它放在Cookie里面自动发送,但是这样不能跨域,所以更好的做法是放在HTTP请求头信息Authorization里面。

四、JWT特点

(1)JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次。

(2)JWT 不加密的情况下,不能将秘密数据写入 JWT。

(3)JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。

(4)JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。

(5)JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。

(6)为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。
————————————————
版权声明:本文为CSDN博主「LemmonTreelss」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_26545305/article/details/88385470

上一篇:cookie,session和JWT


下一篇:SpringBoot中使用 JWT + 拦截器实现登录验证