浙江均泰建设有限公司网站,wordpress怎么删除主题,哪有做logo的网站,做装修的应该去哪网站找客户了解为什么会有JWT的出现#xff1f;
首先不得不提到一个知识叫做跨域身份验证#xff0c;JWT的出现就是为了更好的解决这个问题#xff0c;但是在没有JWT的时候#xff0c;我们一般怎么做呢#xff1f;一般使用Cookie和Session#xff0c;流程大体如下所示#xff1a;…
了解为什么会有JWT的出现
首先不得不提到一个知识叫做跨域身份验证JWT的出现就是为了更好的解决这个问题但是在没有JWT的时候我们一般怎么做呢一般使用Cookie和Session流程大体如下所示
用户向服务端发送用户名和密码进行验证服务端验证之后相关数据如用户角色、登录时间等信息会保存在当前的Session中服务端向用户返回一个唯一的session_id同时在响应请求中设置cookie属性名为jessionid客户端收到之后会保存jessionid再次请求的时候会在header中设置服务端可以从请求头中获取服务端验证获取到的sessionid是否存在即可验证是否是同一用户
使用Cookie和Session这种模式最大的问题之一就是它不支持横向扩展也就是不支持分布式架构如果当前只有一台服务器那就没什么问题但是在当下的时代一台服务器往往是不够的现在绝大多数都是服务器集群。如果是服务器集群那么在负载均衡的时候就不能保证每次都发送到同一台服务器上这样的话也就不能验证用户的身份了但是这对用户是不友好的用户是感知不到自己的请求发送到了别的服务器上的。
所以这个时候就提出来了让session落库当一个请求发过来之后验证服务从数据库去验证用户身份这样就能让各个服务器正确的验证用户身份信息但是这样做依赖性太强如果这个session数据库挂了那么整个认证系统都会崩溃。
JWT的面世
因为Cookie和Session的局限性所以有人提出只让客户端存储数据服务端不保存任何会话数据每个请求都被发送回服务器JWT出现了。
WT官网的一张图描述的是JWT的认证过程可以先看看这张图有个印象 JWT的概念
JWT是Json Web Token的缩写它将用户信息加密到Token中服务器不保存任何的用户信息。服务器通过使用保存的密钥验证Token的正确性只要正确就通过验证。
上面可能很难理解把它日常化一下就是在没有网络的年代部门A要申请部门B的某个机器使用权部门A肯定要先老大打报告写申请最后老大签字同意部门A再拿着这个带有老大签字的这个申请报告去找部门B部门B才能同意部门A使用这就是JWT的流程。
JWT的数据结构
JWT总共包含了三个部分Header头部、Payload负载、Signature签名。这三部分共同生成Token三部分之间用“.”做分割。
JWT 头部
JWT的头部是一个描述JWT元数据的JSON对象如下所示
{alg: HS256,typ: JWT
}
其中的alg表示的是签名使用的算法默认为HMAC SHA256写为HS256typ表示的是令牌的类型JWT的令牌统一写为JWT。
这样的一个Json数据还需要使用Base64 URL算法将其转为字符串保存。
JWT 负载
负载部分就是JWT的主体内容同样的也是一个Json对象它包含了需要传递的数据但是不能传递敏感数据因为这部分数据别人也是可以拿到并且解密的。
JWT指定有七个默认字段供选择
iss发行人exp到期时间sub主题aud用户nbf在此之前不可用iat发布时间jtiJWT ID 用于标识该 JWT
除了默认字段外我们还可以自定义字段如下所示
同样这部分数据依然是使用Base 64 URL算法转换为字符串加密。
JWT 签名
签名部分是对上面两部分的数据签名通过指定的算法在JWT头部指定的算法生成哈希来确保数据不会被篡改。
一般流程如下
在服务器中保存了一个密码secret这个密码仅仅保存在服务器中不对用户开放。使用JWT头部指定的签名算法以及服务器中保存的密码secret来生成对应的签名在计算出签名之后JWT头、负载、签名三部分组成一个字符串每个部分以“.”进行分割构成JWT对象
JWT的认证流程
客户端发送信息给服务端让其进行验证服务端验证成功后返回给客户端一个JWT客户端将JWT保存在Cookie或放入HTTP请求的Header Authorization字段中推荐放在这此后客户端请求的时候都带着JWT去请求服务端服务端对JWT再进行验证。 JWT的缺陷
JWT最大的缺陷就是服务器不会保存会话状态所以使用期间不能取消令牌或者更改令牌的权限一旦JWT签发在有效期内将会一直有效。由于JWT不加密所以JWT不能用来传递敏感数据它有着更大的空间占用很难应对过期的数据由于无法废除掉已经颁布的令牌在令牌过期之前只能忍受过期的数据
总结
在Web应用中不能把JWT当作Session使用绝大多数情况下传统的cookie-session机制工作得更好JWT适合一次性的命令认证颁发一个有效期极短的JWT即使暴露了危险也很小由于每次操作都会生成新的JWT因此也没必要保存JWT真正实现无状态。
