本文探讨了JWT与Token的不同及适用场景。介绍了两者的生成和验证流程,指出JWT由头部、负载、签名构成,能在负载携带用户信息,可减轻服务器与数据库压力;还提到Token有状态,JWT无状态,存在安全问题,最后介绍了JWT使用的sha256算法。
在网上的一些博文提到,JWT是属于一种特殊的token。然后我就陷入了沉思,那么到底JWT与token有什么不同,到底什么时候用token,什么时候用JWT。
首先先写一下Token与JWT的生成和验证流程。
Token生成和验证流程:用户登陆服务器,服务端验证用户账号密码,使用唯一码(一般是uuid)生成token,然后将这个token与用户id绑定,保存在数据库当中,返回给客户端。而后用户每一次请求服务器,服务器首先读取请求头当中的token,然后去数据库进行验证,通过则让用户访问服务端接口,不通过则拒绝访问。
JWT的生成和验证流程:用户登陆服务器,服务端验证用户账号密码,使用secret生成JWT令牌,然后将令牌返回给客户端。客户端访问服务端的时候,在请求头中带上这个令牌,服务端使用secret去验证令牌是否合法,合法则让用户访问服务器接口,不合法则拒绝。
咋一看这两种验证机制的流程,感觉是十分相似的,那它们有什么不同呢?
首先说一下JWT令牌的构成部分。它主要由以下三个部分组成:
- Header(头部)
- Payload(负载)
- Signature(签名)。
发送给服务器的令牌样子是AAAA(头部).BBBB(负载).CCCC(签名)的形式。、
JWT与Token的第一点不同就体现出来了。即JWT能够在负载中,携带一定的用户信息。
当然,这个用户信息不能是重要的用户信息,因为Header(头部)和Payload(负载)仅仅是使用了Base64算法进行加密,很容易就被解密了。个人理解例如像用户是否是admin,是否是会员这些信息可以携带在Payload(负载)当中。
那么与Token相比,对于那些需要进行身份权限验证的接口,服务端每一次验证完用token之后,都需要去根据与token绑定的用户id去查询用户身份权限,JWT能够一定程度上减轻服务器与数据库的压力。
JWT与Token的第二点不同在于token的状态不同。
Token机制下,让token失效只需要在服务端的数据库当中,删除掉保存的token。但是JWT则不然,它的这个token可以说是无状态的,即服务端无法让你这个token失效,即使你在你的浏览器或者app当中,删除掉了这个token,但是它在服务端眼中,在有效期内,它依旧是有效的,即是一个游离的token令牌。也因此,会产生一个安全问题,secret不能是一个固定统一的字符串,它应该与用户的密码绑定在一块。一旦用户被盗号,如果secret是一个固定统一的字符串,那么对于已经发放的在有效期内的令牌,都可能产生安全问题。
最后,说一点JWT主要使用的sha256算法。刚看到JWT的加密过程的时候,我想的是,比如一个需要会员权限才能访问的接口。有人找一个会员账号,推算出服务端的secret,然后模拟生成一个JWT令牌,这该如何处理。然后就去查了一下相关资料,sha256算法的加密函数,是一个单向函数,什么叫做单向函数。就是几乎不可能通过逆向推出原来的参数的函数公式。例。即使你知道了
到
的输入参数,你也基本没法去计算出
到
,那么这就是一个单向函数。所以基本是不可能解密的,只能通过碰撞,去强行暴力破解。
最后,附上几篇不错的关于jwt的博文,谢谢这些博主。
http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html JSON Web Token 入门教程
https://blog.youkuaiyun.com/j3T9Z7H/article/details/80059968 理解JWT的使用场景和优劣
https://www.jianshu.com/p/792f71bb52dd 为什么不推荐用JWT保护你的Web应用
如果理解有错误,欢迎大佬们留言指正,谢谢!
扫一扫
7442
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
