什么是JWT
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的 , 特别适用于分布式站点的单点登录(SSO)场景 。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息 , 以便于从资源服务器获取资源 , 也可以增加一些额外的其它业务逻辑所必须的声明信息 , 该token也可直接被用于认证 , 也可被加密 。
起源
说起JWT , 我们应该来谈一谈基于token的认证和传统的认证的区别 。
传统的认证
我们知道 , http协议本身是一种无状态的协议 , 而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证 , 那么下一次请求时 , 用户还要再一次进行用户认证才行 , 因为根据http协议 , 我们并不能知道是哪个用户发出的请求 , 所以为了让我们的应用能识别是哪个用户发出的请求 , 我们只能在服务器存储一份用户登录的信息 , 这份登录信息会在响应时传递给浏览器 , 告诉其保存为,以便下次请求时发送给我们的应用 , 这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于认证 。
但是这种基于的认证使应用本身很难得到扩展 , 随着不同客户端用户的增加 , 独立的服务器已无法承载更多的用户 , 而这时候基于认证应用的问题就会暴露出来.
【JWT验证介绍】基于认证所显露的问题
: 每个用户经过我们的应用认证之后 , 我们的应用都要在服务端做一次记录 , 以方便用户下次请求的鉴别 , 通常而言都是保存在内存中 , 而随着认证用户的增多 , 服务端的开销会明显增大 。
扩展性: 用户认证之后 , 服务端做认证记录 , 如果认证的记录被保存在内存中的话 , 这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源 , 这样在分布式的应用上 , 相应的限制了负载均衡器的能力 。这也意味着限制了应用的扩展能力 。
CSRF: 因为是基于来进行用户识别的, 如果被截获 , 用户就会很容易受到跨站请求伪造的攻击 。
基于token的鉴权机制
基于token的鉴权机制类似于http协议也是无状态的 , 它不需要在服务端去保留用户的认证信息或者会话信息 。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了 , 这就为应用的扩展提供了便利 。
流程上是这样的:
这个token必须要在每次请求时传递给服务端 , 它应该保存在请求头里 , 另外 , 服务端要支持CORS(跨来源资源共享)策略 , 一般我们在服务端这么做就可以了--Allow-: * 。
那么我们现在回到JWT的主题上 。
JWT长什么样?
JWT是由三段信息构成的 , 将这三段信息文本用.链接一起就构成了Jwt字符串 。就像这样:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
JWT的构成
第一部分我们称它为头部(),第二部分我们称其为载荷(, 类似于飞机上承载的物品) , 第三部分是签证().
jwt的头部承载两部分信息:
完整的头部就像下面这样的JSON:
- 关于大班 陈冲的介绍 大班 陈冲
- ABB机器人:Cross Connection功能介绍与使用方法
- 关于世纪森林公园的介绍 世纪森林公园
- 关于baba的介绍 baba
- 关于水立方净水器的介绍 水立方净水器
- 关于国安vs春武里的介绍 国安vs春武里
- Jmeter 性能之 “查看结果树” 界面功能介绍
- 运放-3-失调电压Vos的理解与仿真验证
- php中验证码刷新代码,php点击验证码实时刷新的实现代码
- 关于驮佛的介绍 驮佛