简单了解JWT

简单了解JWT

昨天一同学问我用token还是session好,我说是没什么区别。于是今天又回头理了一遍JWT(json web token),总算是理解了JWT的意义。

 

先说说前端部分,前端部分不管后台用的什么,没什么区别,就是把后台返回的登录标识存到本地,然后每次请求携带传给后台,不管是通过cookie还是header里面加token,都是全局配置,所以对前端来说两者没什么区别。

 

如果后台是通过session,一般服务器会对登录请求保存相关数据到session里面,然后给用户返回一个sessionid写入用户的cookie,之后用户每次请求都会携带cookie,服务器通过这个id获取用户信息。有说这个方法服务器要存储session,占内存,说每次携带浪费带宽,我觉得这两个都不是问题,一般前端使用其他方法也是全局配置,都会携带认证标识,至于服务器占内存,这点内存应该也可以忽略不计。

 

使用session这种方法,最主要的应该是对服务器集群和跨域服务的架构影响很大,因为cookie是不支持跨越的,如果是集群,就要共享session数据,让每台服务器都能读取session。当然,如果是单个服务器的,那就什么问题没有。

 

为了解决session的这个问题,使用JWT就能完美解决。简单说JWT就是把用户信息变成base64加上签名返回给前端,由前端存储,每次请求携带上,后台再通过签名判断是否经过篡改,如果是正确的,直接使用用户信息。这样,服务器就不需要存储session了,不管是跨域的还是集群的,就都能获取用户信息。

 

JWT三部分:

Header头部:{“alg”: “HS256″,”typ”: “JWT”},alg是签名算法,默认是HS256,typ是token类型,一般JWT默认为JWT。

 

Payload存放需要传递的数据,JWT规定了7个官方字段:

iss(issuer):签发人

exp (expiration time):过期时间

sub (subject):主题

aud (audience):受众

nbf (Not Before):生效时间

iat (Issued At):签发时间

jti (JWT ID):编号

这是官方规定的,你可以自己随意加字段,比如id之类的。

 

Singnature签名,对前两个部分签名,防止篡改。就是公钥密钥一样,密钥只有服务器知道,不能让客户端知道。接着就是转换成base64,中间用.隔开拼接成一个字符串,返回给前端。

 

当前端收到这个令牌之后,存cookie还是localstorage都可以,要注意的就是cookie不能跨域,所以很多是存在localstorage,然后header里面加个字段发送给后台。后台收到后通过Header和Payload进行签名跟发给后台的签名对比,看是否被篡改。

 

这边只是介绍了JWT大概的原理,至于怎么签名防止篡改就不去研究了。但是一定要注意,转化成base64是没有加密的,除非你生成之后自己去加密,所以不能把一些敏感数据放到JWT。JWT只是解决用户会话问题。就像使用sessionid标识服务器的session一样,这个sessionid是没有什么加密的。

 

JWT的缺点就是不能随时废除这个签名,在到期之前都有效,不过服务器可以做一些逻辑去解决这个问题。

 

至于怎么解决加密的安全性问题,后台技术应该很成熟了,这边还是要最后强调一下,JWT本身只是解决用户会话问题,本身没有任何加密性,加密的机制后台要通过另外的方法去实现。

(完)

来源:coding个人笔记,本文观点不代表自营销立场,网址:https://www.zyxiao.com/p/96343

发表评论

电子邮件地址不会被公开。 必填项已用*标注

侵权联系
分享本页
返回顶部