什么是JWT？JWT由哪些部分組成？JWT如何進行用戶認證？

Part 01

●JWT是什么？●

JWT（JSON Web Token）是一個開放的行業標準（RFC 7519），自身包含了身份驗證所需要的所有信息，因此我們的服務器不需要存儲用戶Session信息。這顯然增加了系統的可用性和伸縮性，大大減輕了服務端的壓力?？梢钥闯鯦WT更符合設計RESTful API時的Stateless（無狀態）原則。并且使用JWT認證可以有效避免CSRF攻擊，因為JWT一般是存在在localStorage中，使用JWT進行身份驗證的過程中是不會涉及到Cookie的。

Part 02

●JWT由哪些部分組成？●

JWT本質上是一組字串，通常是這樣的：xxxxx.yyyyy.zzzzz，通過（.）切分成三個為Base64編碼的部分：

Header：描述JWT的元數據，定義了生成簽名的算法以及Token的類型。

Payload：用來存放實際需要傳遞的數據。

Signature：服務器通過Payload、Header和一個密鑰(Secret)

使用Header里面指定的簽名算法（默認是 HMAC SHA256）生成。

示例：

可以通過https://jwt.io對上述JWT進行解碼，解碼之后便可得到Header、Payload、Signature這三部分。Header和Payload都是JSON格式的數據，Signature由Payload、Header和Secret(密鑰)通過特定的計算公式和加密算法得到。

Header

通常由兩部分組成。

typ（Type）：令牌類型，也就是JWT

alg（Algorithm）：簽名算法，比如HS256

示例：

JSON形式的Header被轉換成Base64編碼，成為JWT的第一部。

Payload

包含了三種類型的聲明。

Registered Claims（注冊聲明）：預定義的一些聲明，建議使用，但不強制。

Public Claims（公有聲明）：JWT簽發方可以自定義的聲明。

Private Claims（私有聲明）：JWT簽發方因為項目需要而自定義的聲明。

下面是一些常見的注冊聲明：

iss（issuer）：JWT 簽發方。

iat（issued at time）：JWT簽發時間。

sub（subject）：JWT主題。

aud（audience）：JWT接收方。

exp（expiration time）：JWT的過期時間。

nbf（not before time）：JWT生效時間，早于該定義的時間的JWT不能被接受處理。

jti（JWT ID）：JWT唯一標識。

示例：

Payload部分默認是不加密的，一定不要將隱私信息存放在 Payload 當中?。?！

JSON 形式的Payload被轉換成Base64編碼，成為JWT的第二部分。

Signature

對前兩部分的簽名，作用是防止JWT（主要是payload）被篡改。簽名的生成需要用到：Header+Payload、存放在服務端的密鑰(一定不要泄露出去)、簽名算法。簽名的計算公式如下：

算出簽名以后，把 Header、Payload、Signature三個部分拼成一個字符串，每個部分之間用"點"（.）分隔，這個字符串就是JWT。

Part 03

● JWT如何進行用戶認證？●

在基于JWT進行身份驗證的的應用程序中，服務器通過 Payload、Header和Secret(密鑰)創建JWT并將JWT發送給客戶端?？蛻舳私邮盏絁WT之后，會將其保存在Cookie或者localStorage里面，以后客戶端發出的所有請求都會攜帶這個令牌。

簡化后的步驟如下：

1．用戶向服務器發送用戶名、密碼以及驗證碼用于登陸系統。

2．如果用戶用戶名、密碼以及驗證碼校驗正確的話，服務端會返回已簽名的Token，也就是JWT。

3．用戶以后每次向后端發請求都在Header中帶上這個JWT。

4．服務端檢查JWT并從中獲取用戶相關信息。

兩點建議：

1．建議將JWT存放在localStorage中，放在Cookie中會有CSRF風險。

2．請求服務端并攜帶JWT的常見做法是將其放在HTTP Header的Authorization字段中（Authorization：Bearer Token）

Part 04

●JWT如何防止被篡改？●

服務器返回簽名之后，即使JWT被泄露或者截獲，黑客也沒辦法同時篡改Signature、Header、Payload。

這是為什么呢？因為服務端拿到JWT之后，會解析出其中包含的Header、Payload 以及Signature。服務端會根據Header、Payload、密鑰再次生成一個Signature。拿新生成的Signature和JWT中的Signature作對比，如果一樣就說明Header和Payload沒有被修改。

不過，如果服務端的秘鑰也被泄露的話，黑客就可以同時篡改Signature、Header、Payload了。黑客直接修改了Header和Payload之后，再重新生成一個Signature就可以了。

?注意：密鑰一定保管好，一定不要泄露出去。JWT安全的核心在于簽名，簽名安全的核心在密鑰。

Part 05

● JWT如何加強安全性？●

1．使用安全系數高的加密算法。

2．使用成熟的開源庫，沒必要造輪子。

3．JWT存放在localStorage中而不是Cookie中，避免CSRF風險。

4．一定不要將隱私信息存放在Payload當中。

5．密鑰一定保管好，一定不要泄露出去。JWT安全的核心在于簽名，簽名安全的核心在密鑰。

6．Payload要加入exp（JWT的過期時間），永久有效的JWT不合理。并且JWT的過期時間不易過長。

Part 06

● JWT有哪些優缺點？●

- 優點

1．無狀態：自身攜帶用戶信息，不需要在服務器上保存session信息。

2．可有效避免CSRF攻擊：CSRF攻擊需要依賴Cookie，然而JWT選擇存放在localStorage中，因此非法鏈接無法獲取JWT。

- 缺點

1．不可控：就比如說，我們想要在JWT有效期內廢棄一個JWT或者更改它的權限的話，并不會立即生效，通常需要等到有效期過后才可以。再比如說，當用戶Logout的話，JWT也還有效。

Part 07

● JWT使用總結●

在“約定優于配置，配置優于編碼”的開發理念下，通過Apollo配置中心，程序員不需要每次更改線上配置都要重新發布服務，成功實現了將配置與編碼解耦，為線上服務變更配置提供了解決方案。

審核編輯：劉清