JWT已经成为API开发中常用的登录状态管理方式,它替代了传统的cookie和session。JWT本质是一种“签名”,而非加密,由header、payload和签名三部分组成。虽然不建议存放敏感信息如密码,但JWT的简洁性使其适合传输用户ID等基本信息。选择成熟的JWT库,并根据HTTP请求库的特性选择合适的传输方式(header或GET参数),可以提高效率并确保安全性。
API开发越来越成为主流,需要各自Access Token做登录状态。
甚至目前web端mvvm应用,如angular、vue、react都使用了jwt方式,也就是不再使用cookie和session作为登录状态。有很多作为这种无状态http的身份登录状态方法,原理也差不多,无非就是获得客户端的标识,把服务器的信息和客户端的交互信息在传输时附带上。
较为流行的传输身份验证码方法就是jwt,jwt只是一种约定,可选择不同的数据加密签名。
本质上只是一种“签名”而不是加密。
jwt生成的token如下:
eyJhbGciOiJIUzI1NiJ9.eyJ1aWQiOjEsImFpZCI6MSwidXNlcm5hbWUiOiJhZG1pbiIsIm1vYmlsZSI6IjEzNTI5NTEzMTA0IiwiaXAiOiIwOjA6MDowOjA6MDowOjEiLCJleHAiOjE1ODU4NDc5MTJ9.edv0BBpe_S6GDmtSp6Q7stsRrxBDesWr9MOjqcGdyR8事实上就是把token分成三段,使用点号 " ." 分割字符串。前两段的内容就是header和payload。后面的是使用选择的加密算法生成的签名。
JWT.io 上面有各种不同语言的实现,不同的语言不同的库能解析和生成,以及附加的参数不同。但基本原理就是使用base64进行数据编码,再进行签名。而不是传输数据是直接加密的,当然你也可以选择加密的算法,但是越复杂服务器解析越慢。
因为jwt只是编码,不是一种加密,所以jwt token作为身份令牌,需要注意不要把危险的参数如密码放在token里,如果你执意要这么做,那么就需要把token放在服务器数据库或者缓存,再生产一个签名使用加密签名进行api与服务器的通信,但这实在是多此一举。
jwt本就是连接授权认证,如果每次连接还做持久化查询,那么无疑增加了性能消耗。
而传输一个身份ID其实就可以了,所以,jwt尽量简短简单即可。
选择实现库或者自己实现都可以,但是最好选择github star数量多的,这是大多数人验证过的。
传输jwt一般使用header,也可以使用get参数传值。这看服务器端与客户端的http请求库如何方便实现。
比如某些前端上传工具,就不能自定义header,那就只能使用url get参数传。服务器也要做好适当的接口规划。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
