本文介绍了JWT(Json Web Token)的概念、用途、与Cookie和Session的对比,以及其工作原理。JWT用于在网络应用间传递信息,通过数字签名确保信息的安全。它通常由Header、Payload和Signature三部分组成,可用于用户认证、信息交换等场景。同时,文章讨论了JWT的安全注意事项,包括防止Token篡改、时效管理,并提供了使用示例。
1.前言:
后端项目中总会有长期保存登录状态的需求,相对于保存帐号密码来说,使用token来保存登录状态已经成为业内共识。在如今微服务和多终端以及Restful Api流行的情况下,cookie和session无法应付,又使得token更加流行。不过如何安全的发放token呢?jwt给了一种思路。
2.什么是token?
Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。(抄自:Jwt的使用场景)
3.什么是jwt:
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名,是目前最流行的跨域认证解决方案。(抄自:SpringBoot集成JWT实现token验证)
4.为什么使用jwt:
4.1和cookie,session来对比一下:
互联网服务离不开用户认证。一般流程是下面这样。
1、用户向服务器发送用户名和密码。
2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。
3、服务器向用户返回一个 session_id,写入用户的 Cookie。
4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。
5、服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。
这种模式的问题在于,扩展性(scaling)不好。单机当然没有问题,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session。而且存在伪造跨站请求伪造攻击的风险
举例来说,A 网站和 B 网站是同一家公司的关联服务。现在要求,用户只要在其中一个网站登录,再访问另一个网站就会自动登录,请问怎么实现?
一种解决方案是 session 数据持久化,写入数据库或别的持久层。各种服务收到请求后,都向持久层请求数据。这种方案的优点是架构清晰,缺点是工程量比较大。另外,持久层万一挂了,就会单点失败。
另一种方案是服务器索性不保存 session 数据了,所有数据都保存在客户端,每次请求都发回服务器。JWT 就是这种方案的一个代表。抄自JSON Web Token 入门教程
最低0.47元/天 解锁文章
扫一扫
959
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
