探秘 JWT：JSON Web Token 的原理与实践

最新推荐文章于 2025-04-09 15:33:19 发布

一休哥助手

最新推荐文章于 2025-04-09 15:33:19 发布

阅读量949

点赞数 17

分类专栏：安全架构文章标签： json 前端网络

本文链接：https://blog.youkuaiyun.com/fudaihb/article/details/144350441

版权

架构同时被 2 个专栏收录

84 篇文章

订阅专栏

安全

5 篇文章

订阅专栏

引言

在现代 Web 开发中，随着单页应用（SPA）、微服务架构和移动端开发的普及，用户认证和授权的需求愈加复杂和多样化。在这种背景下，**JSON Web Token（JWT）**作为一种轻量级的认证解决方案，以其自包含、跨平台和高性能的特性成为主流。

本篇文章将深入解析 JWT 的工作原理、结构组成、安全机制及其在实际开发中的应用，帮助开发者全面掌握 JWT 的核心概念和实践技巧。

什么是 JWT？

JWT（JSON Web Token）是一种开放标准（RFC 7519），用于在双方之间以 JSON 格式安全地传递信息。它的特点是 自包含 和 可验证性，即每个 JWT 都包含足够的信息，并且可以通过加密签名验证其真实性。

JWT 常用于以下场景：

用户认证和授权。
分布式系统中的信息传递。
跨域数据共享。

JWT 的结构

JWT 的内容由三部分组成，彼此之间通过 . 分隔：

Header.Payload.Signature

1. Header（头部）

Header 是一个 JSON 对象，通常包含两部分信息：

类型：表示令牌类型，通常为 JWT。
算法：表示签名算法，如 HS256（HMAC-SHA256）或 RS256（RSA-SHA256）。

示例：

{
  "alg": "HS256",
  "typ": "JWT"
}

Base64Url 编码后：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

2. Payload（负载）

Payload 是令牌的主体部分，用于存储声明（Claims）。这些声明可以是预定义的标准声明，也可以是用户自定义的声明。

常见的标准声明：

iss（Issuer）：签发者。
sub（Subject）：主题（通常是用户标识）。
aud（Audience）：受众。
exp（Expiration Time）：过期时间。
iat（Issued At）：签发时间。
nbf（Not Before）：生效时间。

示例：

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true,
  "iat": 1516239022
}

Base64Url 编码后：

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWUsImlhdCI6MTUxNjIzOTAyMn0

3. Signature（签名）

Signature 是对前两部分（Header 和 Payload）的签名，用于确保数据的完整性和真实性。

签名的生成公式如下：

HMACSHA256(
  base64UrlEncode(header) + "." + base64UrlEncode(payload),
  secret
)

或对于非对称加密：

RSASHA256(
  base64UrlEncode(header) + "." + base64UrlEncode(payload),
  privateKey
)

签名的目的：

确保令牌在传输过程中未被篡改。
验证签发者的身份。

JWT 的工作原理

JWT 的典型工作流程如下：

用户登录：用户提交凭证（如用户名和密码）。
服务器验证：验证用户身份，如果成功，则生成一个 JWT。
返回 JWT：将生成的 JWT 返回给客户端。
客户端存储：客户端通常将 JWT 存储在本地存储（localStorage）或 Cookie 中。
后续请求：客户端在每次请求时，将 JWT 附加到请求头中（通常是 Authorization 字段）。
服务器验证：服务器验证 JWT 的签名和有效性。
响应数据：如果验证通过，则执行相应操作并返回数据。

JWT 与会话管理

JWT 的特点是无状态性，因此它与传统基于会话（Session）的认证方式有以下不同：

特性	会话认证	JWT
状态管理	需要在服务器端存储会话信息	无需服务器端存储
可扩展性	多台服务器需要共享会话状态	天然适合分布式系统
安全性	会话信息在服务器端，可控性更强	JWT 信息一旦泄露易被伪造
数据传递	通常只包含 Session ID	自包含，携带更多信息

JWT 的优缺点

优点

跨平台支持：可以在任何支持 HTTP 的平台中传递。
自包含：无需额外的服务器存储。
高性能：避免了频繁的数据库查询。

缺点

数据不可变：Payload 数据公开，敏感信息需加密。
令牌大小：JWT 通常比 Session ID 更大，可能增加传输负担。
撤销复杂：一旦签发，无法轻易撤销，需要借助黑名单等机制。

JWT 的安全性

使用 JWT 时，需要注意以下安全问题：

1. 签名算法选择

避免使用不安全的算法（如 none），推荐使用 HS256 或 RS256。

2. 密钥管理

确保密钥的复杂性，并妥善存储密钥。对于非对称加密，建议使用 RSA 或 ECDSA。

3. 数据敏感性

Payload 是明文的，不要在其中存储敏感信息。如果确实需要传递敏感信息，应加密后再放入 Payload。

4. 令牌过期

通过 exp 声明设置令牌的过期时间，避免长期有效的令牌带来的安全隐患。

JWT 的实践示例

以下是一个简单的使用 JWT 的示例（基于 Python 和 Flask）：

1. 安装依赖

pip install flask pyjwt

2. 服务端代码

from flask import Flask, request, jsonify
import jwt
import datetime

app = Flask(__name__)
SECRET_KEY = 'your_secret_key'

# 生成 JWT
@app.route('/login', methods=['POST'])
def login():
    username = request.json.get('username')
    if username == 'admin':
        token = jwt.encode({
            'user': username,
            'exp': datetime.datetime.utcnow() + datetime.timedelta(hours=1)
        }, SECRET_KEY, algorithm='HS256')
        return jsonify({'token': token})
    return jsonify({'message': 'Invalid username'}), 401

# 验证 JWT
@app.route('/protected', methods=['GET'])
def protected():
    token = request.headers.get('Authorization').split()[1]
    try:
        data = jwt.decode(token, SECRET_KEY, algorithms=['HS256'])
        return jsonify({'message': f'Welcome {data["user"]}'})
    except jwt.ExpiredSignatureError:
        return jsonify({'message': 'Token expired'}), 401
    except jwt.InvalidTokenError:
        return jsonify({'message': 'Invalid token'}), 401

if __name__ == '__main__':
    app.run(debug=True)