JWT:JSON Web Token 的缩写
由三部分组成:Header(头部)、Payload(负载)、Signature(签名)。
随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单。
因此,JWT通常如下所示: xxxxx.yyyyy.zzzzz
JWTString=base64UrlEncode(Header).base64UrlEncode(Payload).HMACSHA256(base64UrlEncode(header)+“.”+base64UrlEncode(payload),secret)
JWT第一部分是header,header主要包含两个部分,alg指加密类型,可选值为HS256、RSA等等,typ=JWT为固定值,表示token的类型。
{"alg": "HS256","typ": "JWT"
}
JWT第二部分是payload,payload是token的详细内容,一般包括iss (发行者), exp (过期时间), sub(用户信息), aud (接收者),以及其他信息,详细介绍请参考官网,也可以包含自定义字段。
{"X-UserId": "001","user_name": "user001","scope": ["read", "write", "trust"],"exp": 1678817795,"jti": "fb118972-ea97-42b0-b16e-a68acf5f7ab9","client_id": "xxx"
}
签名属于jwt的第三部分。主要是把头部的base64UrlEncode与负载的base64UrlEncode拼接起来,再进行HMACSHA256加密,加密结果再进行base64url加密,最终得到的结果作为签名部分
当接收方接收到一个JWT的时候,首先要对这个JWT的完整性进行验证,这个就是签名认证。它验证的方法其实很简单,只要把header做base64url解码,就能知道JWT用的什么算法做的签名,然后用这个算法,再次用同样的逻辑对header和payload做一次签名,并比较这个签名是否与JWT本身包含的第三个部分的串是否完全相同,
只要不同,就可以认为这个JWT是一个被篡改过的串,自然就属于验证失败了。接收方生成签名的时候必须使用跟JWT发送方相同的密钥,意味着要做好密钥的安全传递或共享
signature这部分的内容是这样计算得来的:
1、EncodeString = Base64(header).Base64(payload)
2、最终签名 = HS256(EncodeString,“秘钥”) --HMAC计算返回原始二进制数据后进行Base64编码
signature模型
base64url(//HMAC计算返回原始二进制数据后进行Base64编码HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), your-256-bit-secret (秘钥加盐) )
)
demo
authorization="Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJYLVVzZXJJZCI6IjExMDA0NSIsInVzZXJfbmFtZSI6Imxpamlhbmp1biIsInNjb3BlIjpbInJlYWQiLCJ3cml0ZSIsInRydXN0Il0sImV4cCI6MTY3NTAyMTQ5MywianRpIjoiZTRkMmNmNzAtNzhkNy00NGFiLWFiYTMtNDM2NjJkN2JiN2ViIiwiY2xpZW50X2lkIjoiamRfcWluZ3podSIsIlgtVXNlck9wZW5JZCI6bnVsbH0.IxdAhvMfwM74ENa8Ify1cu-5lBcd4GPip6Dy0gSePQw"
JWT_SECRET="4fd300e56f2d66910c140165a2f394d5"
HMAC在线验证:https://1024tools.com/hmac
参考:使用JWT做用户登陆token校验